Vous êtes sur la page 1sur 15

Techniques investigation Introduction

I. Cybercriminalité

1. Définition :

La cybercriminalité décrit l’activité criminelle dans laquelle le système ou le réseau


informatique est une partie essentielle du crime. On l’utilise, également, pour décrire
les activités criminelles traditionnelles dans lesquelles les ordinateurs ou les réseaux
sont utilisés pour réaliser une activité illicite.
Selon les Nations Unies, un cyber crime est toute infraction susceptible d’être commise à l’aide
d’un système ou d’un réseau informatique, dans un système ou un réseau informatique ou contre un système ou un
réseau informatique. Il englobe, en principe toute infraction susceptible d’être commise dans un environnement
électronique.
On peut alors classer les infractions appartenant à cette notion en deux catégories :
 Les infractions liées aux systèmes d’information et aux systèmes de traitement
automatisés des données (accès frauduleux, altération d’un système, attaque par
déni de service, ...), engendrées par le développement des réseaux informatiques,
notamment Internet1.
 Les infractions liées aux formes de criminalité «traditionnelles» où l’informatique
en est le moyen, c'est-à-dire, développées avec les nouvelles technologies de
l’information et de la communication (NTIC) ou être facilitées par ces dernières, et
donc constituer un nouveau vecteur de criminalité (arnaques, atteinte à la vie
privée et aux propriétés intellectuelles, infractions racistes, ..).
Cette deuxième catégorie regroupe par exemple les escroqueries, dont de nouvelles
formes ont pu apparaître avec Internet (usages frauduleux de cartes de crédit en
ligne, phishing2, etc.), les menaces et injures de toutes natures qui peuvent être
diffusées via les nouveaux moyens de communication électronique (messagerie,

1
Internet (avec I en majuscule et sans article) est le réseau informatique mondial qui rend accessibles au public des services divers :
telechargement, courrier, e-commerce, ... Ses utilisateurs sont désignés par le terme « internaute ». Techniquement, Internet se
définit comme le réseau public mondial utilisant le protocole de communication IP (Internet Protocol). Le nom Internet vient de
INTERconnected NETworks.
2
Le «phishing» (ou « hameçonnage ») est une technique utilisée par les fraudeurs visant à soutirer des informations personnelles à
leurs victimes en se faisant passer pour un tiers de confiance (banque, administration...). Un exemple :
http://www.caf.fr/actualites/2013/attention-aux-courriels-et-sites-internet-frauduleux
1
Techniques investigation Introduction

forums, réseaux sociaux, ..), la diffusion d’images subversives3 qui est également
facilitée par les réseaux et Internet.
Il convient cependant de relever l'absence de définition légale de la cybercriminalité
même si les conventions internationales tendent vers une définition, tout au moins
vers une meilleure prise en compte et donc une répression de la cybercriminalité
(Exemple : La convention du Conseil de l’Europe sur la Cybercriminalité du 23
novembre 2001)4.

2. Lexique :
Les termes ou expressions en rapport avec le contexte de la cybercriminalité sont
illustrés par le suivant :
 Proxy : un simulateur logiciel qui joue le rôle d'intermédiaire en se plaçant entre
deux entités (terminal et serveur en général) pour faciliter ou surveiller leurs
échanges. Le proxy peut être utilisé dans un sens utile : accélération de la navigation
(cache et filtrage de requêtes), et utilisé dans le mauvais côté : changement d’adresse
IP, contournage des sites bloqués, passage en anonymat, ..etc. Il existe divers serveurs
proxy disponibles gratuitement sur le net, notamment Freeproxy, SSH Proxy ou Glype5.
 FAAS (Fraud as a service): utilitaire proposant des applications d’envoi de masse
de SMS ainsi que les services d’envoi d’identité par SMS. Exemple SPOOF 6: conçu pour
envoyer des messages courts aux victimes en vue de diriger celles-ci vers de numéros
de téléphones frauduleux. Ce service dissimule le véritable numéro du cybercriminel
en le remplaçant par un nom alphanumérique, par exemple (SERVICE CLIENT DE LA
BANQUE ABC). Ce type de service permet aux cybercriminels de tromper des
utilisateurs mobiles en les incitant à accéder à une URL malveillante en fournissant
des données personnelles moyennant un cadeau par exemple.
 Caching : toute personne assurant, dans le seul but de rendre plus efficace leur
transmission ultérieure, une activité de stockage automatique, intermédiaire et
temporaire des contenus qu'un prestataire transmet. L’objectif du caching est que les
fichiers ne transitent pas à nouveau sur le réseau lorsqu’un internaute revient sur une
page déjà consultée ou que différents abonnés aux mêmes FAI consultent le même
site.
 FAI7: toute personne physique ou morale exploitant un réseau de communications
électroniques, généralement payant, ouvert au public ou fournissant au public un
service de communications électroniques. Ils offrent également à leurs abonnés les
moyens techniques d'accéder à internet (tel le proxy). Le FAI établit une connexion
entre un abonné et la toile www l’aide de protocole, généralement PPP ou TCP/IP. A
chaque connexion, le FAI lui alloue une adresse IP (similaire à un no téléphone) qui
peut être statique ou dynamique conservée jusqu’à la fin de la session. Tous les
documents et pages échangées transitent par les serveurs du FAI qui, jouera le rôle de
courtier. Le FAI aura connaissance de toutes les activités de l’abonné qui pourra les

3
A caractère sensible et nuisible.
4
http:// conventions.coe.int/treaty/fr/Treaties/Html/185.htm‎
5
Pour http : Squid : serveur proxy open source, Privoxy : serveur open source destiné à proteger les données privées des utilisateurs.
FreeProxy, JanusVM : serveurs permettant la navigation anonyme et sécurisée sur le Web, JonDonym: logiciel open source pour
connecter aux chaînes des anonymiseurs. Ghost navigator : navigateur web préconfiguré pour se connecter à plusieurs serveurs
proxies répartis dans plusieurs pays, TcpCatcher : serveur proxy TCP et HTTP à but éducatif, Microsoft-Forefront-Threat-
Management-Gateway : logiciel proposant un proxy et un pare-feu, Varnish : serveur proxy simple et efficace.
Pour SSH : SSH Proxy : serveur proxy pour le protocole SSH open source.
Pour IMAP : ImapProxy : serveur proxy open source pour le protocole IMAP.
Pour SMTP : SMAP : serveur proxy pour le protocole SMTP.
Multi-protocoles : DeleGate : serveur proxy multi-plateforme multi-usage mandaté au niveau applicatif ou au niveau session.
6
L’application‎a‎été‎également‎intégrée‎dans‎le‎réseau‎mobile.‎Elle‎permet‎‎de‎contrefaire‎le‎numéro‎de‎l’appelant‎et‎sa‎voix.
7
Appelé aussi, ISP/Provider.
2
Techniques investigation Introduction

enregistrer. Il a également la possibilité de bloquer ou rediriger les requêtes8. Dans le


cadre commercial, le FAI est choisi à base de sa couverture, sa bande passante, son
prix et ses services (SAV, domaines, pages personnelles, …etc).
 FH: Les fournisseurs d'hébergement sont les personnes physiques ou morales qui
assurent, même à titre gratuit, pour mise à disposition du public par des services de
communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons
ou de messages de toute nature fournis par les destinataires de ces services. Le rôle
de l'hébergeur est d'assurer le stockage direct et permanent des informations, à la
différence du caching qui est un stockage automatique, intermédiaire et temporaire.
 FC : la personne qui détermine les contenus qui doivent être mis à la disposition
du public sur le service qu'il a créé ou dont il a la charge.
 Hacking: Le Hacker est le spécimen d’un individu qui, par jeu, curiosité, défi
personnel, souci de notoriété, ou envie de nuire, cherche à pénétrer un système
informatique auquel il n’a pas légitimement accès. Les motivations financières sont
très loin de ses intentions. En d’autres termes, le Hacker, pirate d’Internet, utilise les
technologies de communication pour s’introduire dans des systèmes protégés dans un
but malveillant. L’objectif primaire est la notoriété9, mais certains ont des desseins de
destruction ou de récupération de données confidentielles.
 Forum de discussion : un service permettant l'échange et la discussion sur un
thème donné : chaque utilisateur peut lire à tout moment les interventions de tous les
autres et apporter sa propre contribution sous forme d'articles. On distingue les forums
modérés a priori et les forums modérés a posteriori. Les forums modérés a priori visent
les forums dans lesquels le gestionnaire de forum fait appel à un modérateur chargé
de surveiller les échanges, de rappeler les règles à certains internautes, voire de
supprimer certains messages illicites avant leur publication. En revanche, au niveau du
forum modéré a posteriori, les internautes sont libres de mettre en ligne les contenus
qu'ils désirent. Le modérateur n'intervient ici que pour supprimer les contenus illicites
ou litigieux qui pourraient lui être signalés.
 Lien hypertexte : une connexion reliant des ressources accessibles par des réseaux
de communication composée notamment des éléments suivants (visibles ou non pour
l'utilisateur) : élément actif ou activable, adresse de destination, conditions de
présentation de la ressource liée.
 Blog : Il s'agit d'un site web spécifique (ou une partie d’un site) en ligne par lequel
l'internaute exprime ses avis et opinions, promet des produits et services, ou encore
réagit dans le cadre de sa vie personnelle ou professionnelle. Il est le symbole de la
liberté d'expression par voie électronique. Un blog est intégré généralement au sein
des sites publicitaires, notamment les revues et les sites d’administrations étatiques
offrant des services publiques.
 Virus/vers: morceau de programme malveillant, rédigé généralement en ASM10,
conçu pour: a) nuire au fonctionnement normal d’un ordinateur en s’insérant dans les
applications, b) se propager à d’autres medias ou ordinateurs selon les moyens
d’échanges disponibles, notamment le transfert de fichiers. Les vers sont de
programmes qui se propagent de la même manière sans contaminer les applications.
 Spam11: Courrier non attendu à caractère publicitaire. Devenu par la suite
indésirable à cause de sa fréquence (élevée) et sa nature (pas toujours évidente). Le

8
Le FAI jouera un rôle important lors des enquêtes‎judiciaires‎relatives‎à‎la‎surveillance‎des‎activités‎d’abonnés‎suspects‎et‎ce,‎par‎
enregistrement de leurs activités.
9
Popularité, célébrité, ..
10
Langage‎de‎programmation‎de‎bas‎niveau‎permettant‎d’accéder‎directement‎aux‎registres.‎Plusieurs‎versions sont disponibles en
littérature : A86 (x86 pour DOS), FASM(Open source pour IA32), MASM (x86 microsoft), TASM (x86 de Borland).
L’Assembleur‎est‎propre‎à‎chaque‎architecture‎et,‎utilisé‎par‎la‎plupart‎des‎pirates‎pour‎l’implémentation‎de‎virus.
11
Provient du terme Spiced Ham, largement consommé en 2è guerre mondiale, utilisé plus tard par des associations Montly Python,
les Viking pour designer tout ce qui disponible et indésirable.
3
Techniques investigation Introduction

spam n'est pas sollicité dans la plupart des cas, il est souvent rédigé spécialement pour
contourner les filtres anti-spams12.
 Spy : logiciel malveillant qui s'installe dans un ordinateur dans le but de collecter
et transférer des informations sur l'environnement dans lequel il s'est installé, très
souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est
associé à celui d'Internet qui lui sert de moyen de transmission de données. Les spies
sont développés principalement par des sociétés proposant de la publicité sur
Internet. Pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître
sa cible. Cette connaissance peut être facilement obtenue par des techniques de
profilage dont le logiciel espion fait partie. Le spy attaque souvent les systèmes
Windows du fait de leur popularité. Certaines pages Web peuvent, lorsqu'elles sont
chargées, installer à l'insu de l'utilisateur un logiciel spy, en utilisant des failles de
sécurité du navigateur de la victime.
 MITB (Man-in-the-browser) : forme d’attaque qui consiste à insérer un cheval de
Troie dans le navigateur web de l’utilisateur par une extension ou un script. Il est
programmé de s’activer dès que l’utilisateur accède à un site spécifique (une banque
en ligne par exemple). Une fois activé, il intercepte et manipule toute information
communiquée par l’utilisateur en temps réel. Il permet également de falsifier les
pages téléchargées ou de les substituer à d’autres pages en vue de tromper
l’utilisateur sur la nature des informations affichées13. Cracking, souvent confondu
avec le Hacker, pénètre les systèmes informatiques avec l’intention de nuire. Il se
différencie du Hacker par le fait que celui-là attaque les systèmes informatiques pour
essayer de tirer un gain de ses méfaits; il poursuit un enrichissement personnel ou
l’acquisition de données confidentielles. Bien souvent, il s’agit de véritables criminels.
 Script-kiddy : application qui lance des attaques de manière totalement aléatoire
en utilisant des listes de commande groupées dans un script ; d’où le nom qu’il porte,
donc, ne demande pas un très haut niveau de connaissance informatique; néanmoins,
il peut causer diverses ennuies vu qu’il est destructif en tout cas.
 Botnet : appelé IRC14, les réseaux de bots informatiques, des programmes
connectés à Internet qui communiquent avec d'autres programmes similaires pour
l'exécution de certaines tâches. Similaire aux réseaux sociaux, leur usage est de gérer
des canaux de discussions, ou de proposer aux utilisateurs des services variés, tels que
des jeux, des statistiques sur le canal, etc.
Les IRC ont été conçus pour accomplir les taches volumineuses, telles l’indexation
Web, exploration de big data, le parallélisme par exploitation de ressources
communes, ..etc. Néanmoins, leur rôle a été viré en machines zombie15 permettant
d’échanger des programmes malveillants et contaminer chaque connexion nouvelle.
Les Botnet malveillants sont utilisés principalement pour infecter des machines,
participer aux attaques groupées (spams), explorer la puissance de calcul pour casser
les mots de passe, ..
Les pirates exploitant les machines zombie sont appelés Botmasters.

3. Infections informatiques

12
Un mot clé tel que Viagra par exemple, (souvent émis dans les spams) peut être ainsi écrit « vi@gr@ » ou « v|agra » ou « v i a g r
a » de manière à tromper un filtrage automatique basé sur ce mot. Une autre méthode employée, appelée « spam image »
consiste à accompagner un texte anodin d'une image sur laquelle se trouve le véritable message publicitaire, l'absence de mot
compromettant en dehors de l'image rendant le filtrage de ces messages très compliqué.
13
Les attaques MITB sont opérées par divers chevaux de troie, notamment le Zeus/SpyEye, URLZone, SilentBanker, Sinowal, Goze,
..etc.
14
Internet Robot Connexion.
15
Ordinateur contrôlé à l'insu de son utilisateur par un hacker. Ce dernier l'utilise alors le plus souvent à des fins malveillantes, par
exemple afin d'attaquer d'autres machines en dissimulant sa véritable identité.
4
Techniques investigation Introduction

Programmes simples ou auto-reproducteurs, à caractère offensif, s’installant dans un


système d’information, à l’insu d’un ou plusieurs utilisateurs, en vue de porter
atteinte à la confidentialité, l’intégrité ou à la disponibilité de ce système ou
susceptible d’incriminer à tort son possesseur ou l’utilisateur dans la réalisation d’un
crime ou d’un délit.
A ces jours, les infections informatiques ont un but lucratif16. En effet, beaucoup de
pirates informatiques contrôlent des milliers d’ordinateurs grâce aux virus et malwares
installés sur les ordinateurs de victimes. Un pirate, responsable d’un botnet, gagnerait
de l’argent par l’acheteur qui peut être par exemple une Entreprise pharmaceutique
illégale d’articles de contrefaçon de grandes marques. Certaines infections sont
destinées à dérober des numéros de cartes bancaires afin d’être revendus et utilisés
par des groupes maffieux.
Les infections informatiques sont classées en deux catégories : simples et
autoreproductrices.

a. Infections simples
Un programme simple contient une fonctionnalité malveillante cachée qui est
appelée à se déclencher à un instant donné, sur un critère donné. Il n y a pas
propagation. Ce programme doit être introduit (volontairement ou non) dans
l’ordinateur ciblé. On le retrouvera en un seul exemplaire.
Lorsque l’utilisateur exécute le programme, la fonctionnalité malveillante (PAYLOAD17)
s’exécute immédiatement. Une action destructive ou simplement perturbatrice est
alors mise en œuvre.
Selon son but, elle sera visible ou non par l’utilisateur. Une fois l’action accomplie, le
programme se termine. Il n’est généralement pas résident en mémoire. Dans cette
catégorie, on distingue :
 Bombe logique : Application logique programmée dont le déclenchement
s'effectue à un moment déterminé un appel spécifique du BIOS18. Installée sur un
grand nombre de machines à l’aide de connexions, elle s’active à un moment précis en
causant le maximum de dégâts. Contrairement aux vers, les bombes logiques ne se
reproduisent pas ; elle demeure inactive en attendant le signal donné de mise à feu
(date système, énième répétition d'une commande, information d'apparence anodine,
..).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de
service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une
entreprise19.
 Cheval de troie20 : Programme destiné pour être installés de manière invisible,
notamment pour corrompre l'ordinateur hôte. Contrairement aux virus, chevaux de
Troie ne se répliquent pas. Leur principal rôle est d’ouvrir une porte dérobée
permettant à un pirate d’accéder à distance ou de prendre le contrôle de la machine.

16
Rentable, profitable.
17
En littérature : charge utile. En informatique, les données‎importantes‎qui‎marquent‎le‎plus‎l’exécution‎d’un‎programme.
18
Basic Input Output System : programme qui se lance au démarrage de l'ordinateur et dont le rôle est de :
 s'occuper de la gestion de certains périphériques ;
 faire ce qu'il faut pour allumer l'ordinateur ;
 faire démarrer un système d'exploitation présent sur une mémoire de masse.
19
Les bombes logiques célèbres : Tchernobyl, vendredi13.
Un‎exemple‎célèbre‎de‎bombe‎logique‎est‎celui‎d’un‎administrateur‎système‎ayant‎implanté‎un‎programme‎vérifiant la présence de
son‎nom‎dans‎les‎registres‎de‎feuilles‎de‎paie‎de‎son‎entreprise.‎En‎cas‎d’absence‎de‎ce‎nom‎(ce‎qui‎signifie‎que‎l’administrateur a
été‎renvoyé),‎le‎programme‎chiffrait‎tous‎les‎disques‎durs.‎L’entreprise‎ne‎possédant‎pas‎la‎clef‎de chiffrement qui a été utilisée, ne
pouvait plus accéder à ses données.
20
En anglais :Trojan.
5
Techniques investigation Introduction

 Les portes dérobées : appelées aussi accès dissimulés (backdoors) permettent à un


utilisateur externe de prendre le contrôle d'une application par des moyens détournés.
Ils peuvent être rapprochés des chevaux de Troie, mais ils ne sont toutefois pas
identiques. Un accès dissimulé permet à un utilisateur informé, souvent le concepteur
du logiciel d'effectuer une action secrète sur un logiciel, afin d'en obtenir un
comportement différent. Ainsi, par exemple, via un accès dissimulé, il est possible
d’avoir accès à des informations ou des ressources normalement inaccessibles
(données personnelles, profil avancé d’utilisateur, courriers électroniques...). Le fait
de laisser une porte ouverte dans un logiciel pour pouvoir l'utiliser sans passer par une
quelconque phase d'authentification est souvent dû à des programmeurs désirant
faciliter la phase de programmation du logiciel. Il s'agit parfois d'accès officiels
disposant de mots de passe mais dont la présence n'est documentée que de manière
succincte et conduit les maîtres du système, souvent par ignorance, à les laisser en
place.
 Logiciels espions : programmes fonctionnant de manière autonome ou de sous-
programmes (cookies, applet Java et contrôles ActiveX) conçus dans le but de
collecter des données et de les envoyer à leur concepteur ou à un tiers sans avoir reçu
le consentement de l’utilisateur.
 Injecteurs : (Dropper), crée pour faciliter le transfert d’un logiciel malveillant
sur la machine. Un injecteur s’injecte au sein d’un programme légitime afin d’être
exécuté sans détection par un antivirus et aura également les mêmes privilèges que le
programme légitime.

b. Infections auto-reproductrices
La finalité d’un programme auto-reproducteur est identique à celle d’un programme
simple. Il s’agit de perturber ou de détruire. A sa première exécution, le programme
cherche à se reproduire. Il sera donc généralement résidant en mémoire et, dans un
premier temps, discret. Comme leur nom l’indique, leur finalité est de se dupliquer,
afin de se diffuser, de se propager, via les vecteurs pour lesquels ils ont été
programmés. Parmi ces infections, on trouve les virus et les vers.
Le virus agit par recouvrement de code (le code viral substitue une partie de l’en-tête
du code du programme cible par le sien), ou par adjonction de code (il remplace l’en-
tête du programme par la sienne et se place à la suite du programme), par
entrelacement de code (il se loge dans des zones allouées au fichier mais non
utilisées) ou encore par accompagnement de code (il ne s’insère pas dans le
programme cible mais crée un fichier supplémentaire qui va accompagner la cible).
Lors de l’exécution du programme, la copie virale contenue dans ce fichier est lancée
en premier, permettant au virus de se propager, puis le programme légitime est lancé.

4. Formes d’escroquerie informatique


a. Vol de données
Au contraire d’un vol «traditionnel » qui aura comme conséquence pour la victime la
dépossession d’un objet physiquement matérialisé (téléphone, voiture,
portefeuille...), les données ou documents numériques peuvent être dupliqués très
facilement sans le moindre coût et être subtilisés de façon quasi-transparente21
Les formes d’escroqueries liées à l’ingénierie sociale, qui visent à soutirer des biens ou
des informations d’une victime via une manipulation mentale, notamment les

21
En revanche, une escroquerie bancaire, même commise ou facilitée par Internet, aura toujours pour conséquence un débit frauduleux
d’argent‎que‎la‎victime‎pourra constater sur un compte bancaire.
6
Techniques investigation Introduction

arnaques nigérianes22, sont efficaces car l’individu croit être en contact avec un
interlocuteur de confiance et n’a pas conscience d’être victime.
Les données ou informations personnelles peuvent être soutirées de différentes
manières : via phishing, infiltration dans des processus d’achats non sécurisés, vols
physiques, utilisation de matériel perdu par les entreprises, fabrication de faux
papiers, achats de lots de données sur les forums de hacking, piratage de mots de
passe, etc.
Dès cette première étape, les e-commerçants sont exposés, puisqu’une très grande
quantité de ces données sensibles est stockée dans leurs systèmes.
Le but de cet acte est de pouvoir utiliser ces données à de fins malveillants :
usurpation d’identité civile ou postale pendant un processus d’achat (par exemple,
modification en cours de commande de l’acheteur pour que le produit sera expédié à
l’adresse du cyberpirate, utilisation de faux points relais de livraison, etc.).
Cette seconde étape est également un risque majeur pour les sites de vente ou
transactions en ligne : cibles privilégiées des cyber-pirates bien plus que les
commerçants physiques devront supporter à la fois le coût du produit les frais d’envoi,
les problématiques annexes de gestion de stocks, etc. Elle peut avoir des
conséquences significatives pour les e-commerçants : même s’ils ne supportent pas les
coûts de la fraude bancaire (strictement gérés par les banques), ils stockent souvent
avec les données bancaires de nombreuses autres informations sur leurs clients qui
peuvent intéresser un cyberpirate en plus des données financières: coordonnées
postales, adresses IP, historiques d’achat, adresses mails, profils marketing, etc.
Parmi les applications utilisées dans ce contexte, on note carberp23.
b. altération de données
Pour ce type d’infractions, il n’est pas toujours aisé, pour un individu, de prendre
conscience qu’il a été victime. Certaines formes de cybercriminalité, comme celles
liées à l’altération du fonctionnement d’un système d’information (par exemple
l’introduction d’un malware24 sur un ordinateur personnel), ou au vol de données ou
documents dématérialisés, peuvent s’avérer totalement transparentes et n’avoir
aucune conséquence «visible» pour l’utilisateur.
Dans ce contexte, on dénombre certaines techniques telles les suivantes :
 DDos (Distributed denial of Service) : inonde un ou plusieurs serveurs Web par une
avalanche de trafic de données sans sens dans le but de rendre le serveur en question
inaccessible.
 Doxing : Pratique qui consiste à exposer en public des informations privées de
personnalités célèbres dans le but de les obliger à réagir et par conséquent de parler
et de faire parler sur l’idéologie du haking. Ce principe est également utilisé dans la
mise en surface des données secrètes d’entreprises afin de leur causer des dommages
divers.
 Prinimalka : Son but est de perturber le fonctionnement de l’ordinateur sous
différentes formes : modifier certains paramètres tels le pare-feu et les pages de

22
Les arnaques nigérianes (ou «scam»)‎ désignent‎ une‎ forme‎ d’escroquerie‎ en‎ ligne‎ basée‎ sur‎ l’envoi‎ d’un‎ courriel‎ à‎ la‎ victime‎
l’incitant‎à‎effectuer‎un‎transfert‎d’argent‎à‎une‎personne‎sensée‎posséder‎une‎quantité‎importante‎d’argent,‎ou‎suite‎à‎une‎victoire‎
(non réelle) à un jeu de hasard
23
Le virus Carberp Trojan est un cheval de troie qui évolue tout le temps dans le but d´éviter d´être détecté, son rôle est de récolter
les données et suivre la trace des utilisateursdurant une connexion en ligne. Au même temps, il télécharge et installe d´autres
badwares sans demander la permission. Le Carberp est astucieux et sa présence est très difficile de détecter. Il a l´habilité
d´identifier les logiciels de sécurités sur les ordinateurs où il s´installe et il prend mesures dans le but d´éviter être découvert.

24
Un logiciel malveillant (ou «malware») désigne un programme développé dans le but de nuire à un système informatique et de le
détourner de son fonctionnement habituel, sans‎le‎consentement‎de‎l’utilisateur.

7
Techniques investigation Introduction

navigation par défaut, redirige les liens vers des sites malveillants, affiche des
messages inattendus, ralenti le chargement et exécute certaines applications
automatiquement, etc. Néanmoins, le but principal du Trojan est bloquer le système
en demandant de l’argent pour le remettre ainsi que d'envoyer l'information financière
volé au pirate en ligne à distance. L’infiltration du Trojan se fait avec l’installation de
logiciels freeware, chargement de vidéos et musique ou l’ouverture de spams, partage
de fichiers en LAN, ..etc. Une fois installé, il modifie certains fichiers essentiels,
notamment le Winsock25, désactive le pare-feu26 et bloque les antivirus.
 Stuxnet : Ver développé pour attaquer des systèmes SCADA27 de Siemens. Il est
destiné à prendre le contrôle et reprogramme les automates qui gèrent les moteurs de
centrifugeuses qui distribuent l’eau dans les centrales nucléaires iraniens28.
Le virus se transporte par clés USB ou par connexion à une machine infectée pour se
propager sur le réseau en utilisant des failles du système. Une fois installé, il utilise
les mots de passe par défaut pour attaquer les systèmes WinCC en utilisant divers
stratégies : CPLink29, ZeroDay30, Conficker31, etc. Il se comporte d’une manière
intelligente : il surpasse la bibliothèque ntdll32, contourne l’antivirus, se charge
mémoire d’une manière semi-cryptée.
c. Interception de réseaux sécurisés
Le principe consiste à intercepter les données échangées entre utilisateurs et les
réseaux des institutions importantes telles les secteurs étatiques, industries et
laboratoires de recherche.
Dans ce contexte, diverses applications virales ont été conçues pour ce fait :
 Zeus : est un cheval de Troie destiné à voler des informations bancaires par
récupération de formulaire, keylogger et attaques en man-in-the-browser. Le virus se
transmet par simple visite sur un site infecté et par phishing.
Zeus cible les ordinateurs sous Windows. Il ne marche pas sous Mac OS et Linux. De
nouvelles versions ont infecté également les BlackBerry et les appareils équipés de
système Android33.
Le virus est dissimulé par e-mail, et lorsque les individus ou organisations visés
ouvraient ces courriels, le logiciel malveillant s'installait sans confirmation sur
l'ordinateur, volant secrètement les mots de passe, numéros et autres données
bancaires.

25
Bibliothèque de périphériques logiciels responsables d transfert des paquets sur les réseaux TCP/IP pour la gestion des navigateurs
et courrier email.
26
Appelé aussi coupe-feu, garde-barrière, barrière de sécurité, en anglais, firewall, Un pare-feu est un logiciel ou matériel dont le but
est de contrôler le trafic en filtrant le flux de données dans les réseaux TCP/IP. Le filtrage se base sur divers paramètres :‎l’origine‎
des paquets, leurs options (fragmentation, validité, ..), type de données (taille, type, ..), utilisateurs (caractéristiques, récents, ..). le
pare-feu‎crée‎des‎DMZ‎selon‎leur‎niveau‎de‎confiance‎afin‎d’instaurer‎une‎politique‎de‎sécurité‎relative‎au‎réseau‎considéré.
27
Le‎Système‎de‎contrôle‎et‎d’acquisition‎de‎données : est un système de télégestion à grande échelle. Il permet de traiter en temps
réel un grand nombre de paramètres (télémesures) et de contrôler à distance le fonctionnement des installations industrielles. Le
système est complexe, il comporte divers organes : matériel électronique de contrôle, réseaux de communication, applications de
gestion, bases de données, IHM, terminaux à distance, ..etc.
28
Le virus a été détecté en 2010 par VirusBlokAda (société de sécurité de Biélorussie),
29
Vulnérabilité exploitant des failles dans Windows à travers des pages web malveillantes.
30
Vulnérabilité‎active‎en‎temps‎d’avant‎sa‎découverte.
31
Ver se propage par le partage de fichiers et par les lecteurs amovibles et lecteurs USB. Le ver ajoute un fichier au lecteur amovible
de sorte que lorsque le lecteur est utilisé, la boîte de dialogue de lecture automatique affiche une option supplémentaire. Le ver
Conficker peut également désactiver des services importants de votre ordinateur.
32
NT Layer DLL : bibliothèque Windows contenant les fonctions Noyau kernel. Elle se trouve en c:\windows\system32 or
c:\winnt\system32 ou c:\i386. Vu‎ son‎ importance‎ dans‎ la‎ gestion‎ du‎ réseau,‎ la‎ bibliothèque‎ est‎ souvent‎ cible‎ d’attaques‎
malveillants.
33
SE open source sous licence Apache utilisant le kernel Linux dédié aux systèmes embarqués type Smartphones, tablettes, PDA et
terminaux mobiles.
8
Techniques investigation Introduction

 Ice IX : une variante Zeus capable de rediriger les appels téléphoniques de


vérification des institutions financières directement vers les combinés des
cybercriminels.
Son principe consiste à voler les données des comptes bancaires à partir de machines
infectées, le malware va capturer les informations sur les comptes téléphoniques
appartenant aux victimes. Le malware va d’abord, de manière classique, dérober
l’identifiant de la victime, son mot de passe, date de naissance, solde des comptes
etc. Puis, la victime est invitée à mettre à jour ses coordonnées téléphoniques
(domicile, portable, bureau) et de préciser son opérateur.
Les clients honnêtes émettent leurs données qui seront récupérées par les malfaiteurs
et prennent le contrôle des lignes téléphoniques. Ainsi le système anti-fraude « post-
transactions » est contourné, et les fraudeurs peuvent exploiter plus longtemps les
comptes de la victime.
 Citadel : un cheval de Troie dangereux qui peut facilement envahir dans le système
ciblé et le rend compromis. En raison de ses activités malveillantes (désactivation de
paramètres et options de l’ordinateur, perturbe l’exécution d’applications, etc.), le
système va diminuer de vitesse de travail progressivement et l’ouverture des fichiers
prend plus de temps. Il peut également changer le navigateur par défaut de la page
d'accueil, fond d'écran, la vie privée ou les paramètres de sécurité. Il parait également
difficile de s’en débarrasser, car il crée une copie rapidement s’il est supprimé.
 Citadel est une version modifiée de ZeuS Trojan qui cible les utilisateurs bancaires
en ligne. Dans la plupart des cas, le virus est utilisé pour voler crédits bancaires ainsi
que d’autres informations sensibles qui peuvent se trouver sur les ordinateurs des
victimes. En arrière-plan, ça commence aussi à ralentir continuellement le système,
les redirections vers les navigateurs et peut télécharger et installer encore plus de
virus.
Citadel virus affiche des alertes trompeuses, par exemple que votre machine publie
des informations contraintes à la politique internationale ou que la banque XXX vous
demande de payer une somme déterminée en vue de votre commande en utilisant les
services d’une carte de crédit.
 MITB et MITM : applications malwares permettant la prise de contrôle des
comptes34. L’objectif des attaques est d’intercepter les communications sécurisées
échangées avec les banques en vue recueillir les données personnelles notamment les
codes d’accès aux comptes, de les modifier et de prendre le contrôle de gestion de
ces comptes. Dans le cas contraire, ils s’associent dans le navigateur de l’utilisateur,
de le bloquer ou le retarder afin d’engager des transactions illicites durant l’accès au
compte.
 SpyEye : un cheval de Troie qui tente de dérober des informations sensibles
relatives aux banques en ligne et aux transactions par cartes de crédit à partir d’une
machine infectée. SpyEye peut potentiellement utiliser un certain nombre de
techniques en vue d’obtenir les identifiants d’utilisateurs de banque en ligne,
généralement en employant une attaque de type phishing en présentant une page de
connexion truquée, qui est généralement basée sur la page de connexion originale de
la banque, mais qui a des champs supplémentaires et du code JavaScript inséré à
l’intérieur, afin d’obtenir les informations d’identification qui ne font normalement
pas partis du processus de connexion, telles que les codes PIN35. Une copie de la
requête HTTP POST est envoyée au serveur C&C36 de SpyEye, à partir de laquelle un

34
Man-in-the-browser et Man-in-the-middle‎étaient‎responsables‎d’une‎perte‎évaluée‎à‎plus‎de‎450‎millions‎USD‎en‎2012.
35
Personal Identity Number : code de quatre à huit chiffres qui protège l'accès à la carte SIM. Dans une carte SIM, on trouve 2 codes :
- PIN : permet de sécuriser l'accès à la carte SIM et/ou réseau. Il est défini par défaut à 0000 ou envoyé avec la carte et peut être
personnalisé.‎S’il‎est‎activé,‎la‎carte‎sera‎bloquée‎après‎3‎essais‎erronés.
- PUK (PIN Unlock Key)protège l'accès à certaines fonctionnalités du mobile, par exemple, bloquer l'accès à votre répertoire.
Ce‎code‎est‎obtenu‎auprès‎de‎l’opérateur. La puce se bloque définitivement après 7 à 10 essais erronés.
36
Centre de commandement et de contrôle.
9
Techniques investigation Introduction

attaquant peut extraire les informations d’identification bancaire ou de carte de


crédit, et commencer à mener leurs propres opérations frauduleuses.
 Gozi37 : Un code malveillant dont le rôle est de voler les informations personnelles
liées aux comptes bancaires ainsi que les noms utilisateurs et mots de passe des
utilisateurs d’ordinateurs infectés. Découvert en 2007, Gozi se faisait passer pour un
document PDF envoyé par email, il permettant à un logiciel malveillant de s’installer
dans le système une fois le fichier ouvert. Ensuite, il tente de collecter les données
permettant d'accéder à des comptes bancaires Ces données ont été ensuite transmis à
divers serveurs contrôlés par les cyber-criminels qui l’utilisent pour le transfert de
fonds sur les comptes bancaires des victimes en leur propre possession personnelle.

5. Attaques
On entend par attaque (appelée cyberattaque ou cyberattaque), un acte maleillant
envers un dispositif informatique à partir d’un système équivalent et ce, par
exploitation d’une faille du système dont le but de soutirer des informations ou de
causer des ennuis préjudiciables38. Les principales attaques cybernétiques sont de
quatre ordres suivants :
a. Attaques cryptographiques
 Attaque des mots de passe : Sur la plupart des systèmes les mots de passe sont
stockés de manière chiffrée dans un fichier ou une base de données. Quand pirate
obtient un accès au système et obtient ce fichier, il lui est possible de tenter de casser
le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes
utilisateurs.
Diverses techniques d’attaques peuvent être utilisées : force brute, dictionnaire,
attaques heuristiques, etc.
Les pirates peuvent recourir à certaines techniques plus prometteuses, notamment :
key-loggers39, ingénierie sociale40, espionnage41, etc.
 Attaque man-in-the middle: Attaque a pour but de s'insérer entre deux ordinateurs
qui communiquent et d'intercepter les communications entre deux parties. Soient
deux ordinateurs A et B voulant dialoguer. Un pirate se fait passer pour l'ordinateur A
auprès de B et de B auprès de A, ainsi, toute communication vers A ou B passera par le
pirate. La technique est utilisée souvent pour fausser les informations échangées
notamment lors de l’achat par internet et la transmission de clés.
 Attaque par dictionnaire : Consiste à choisir des mots de passe ayant une
signification réelle (un prénom, une couleur, le nom d'un animal…).
 Attaque par rejeu : (replay attack) consiste à envoyer, dans une communication,
des messages interceptés au cours d'une autre communication ou plus tôt dans la

37
Depuis son apparition, Gozi a infecté plusieurs millions d'ordinateurs de victimes dans le monde entier , parmi lesquels au moins 40
000 ordinateurs aux États-Unis , y compris les ordinateurs appartenant à la National Aeronautics and Space Administration ( NASA
) , ainsi que des ordinateurs en Allemagne , Grande-Bretagne , Pologne , France, Finlande , Italie, Turquie , et ailleurs , et il a causé
des dizaines de millions de dollars de pertes pour les individus , les entreprises et les entités gouvernementales dont les ordinateurs
ont été infectés.
38
Les‎grandes‎cyberattaques‎à‎travers‎l’histoire :
- Attaque de Russie contre Estonie et Géorgie (2007,2008 et 2009). But : Saturation des réseaux.
- Attaque contre les sites officiels et banques en Corée du Sud (2008-2009).
- Opération‎Olympic‎games‎contre‎l’industrie‎nucléaire‎iranienne‎(2010),
- Attaque contre Lookheed Martin (2001).
- Attaque‎de‎l’armée KSA (2013).
39
Logiciels qui enregistrent les frappes de claviers saisies par l'utilisateur. Les systèmes d'exploitation récents possèdent des
mémoires tampon protégées permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.
40
Se faisant passer pour un administrateur du réseau ou bien à l'inverse appeler l'équipe de support en demandant de réinitialiser le
mot de passe en prétextant un caractère d'urgence.
41
Technique de proximité : observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe ou
plutôt‎jeter‎un‎coup‎d’œil‎au-dessus‎de‎l’épaule,‎utiliser‎une‎caméra,‎un‎miroir,‎..etc.
10
Techniques investigation Introduction

communication sans aucune modification. Ce type d'attaques permet de contourner


des protocoles simples comme, par exemple, une authentification par mot de passe : il
suffit à un adversaire d'avoir espionné un échange pour connaître le mot de passe et
donc pour pouvoir se faire passer pour un utilisateur légitime.
b. Attaques par déni de service
Le déni de service (DoS) consiste à bloquer un service, mettre hors ligne un système,
voir un serveur et par conséquent, empêcher les utilisateurs légitimes d’en servir. Les
services visés par les pirates consistent en : inondation d’un réseau, perturbation de
connexions, blocage de l’accès à un service. Il comprend les attaques suivantes :
 Réflexion : (Smurfing), Consiste à envoyer une trame à la destination d'un
broadcast42 de réseau en changeant l’adresse IP source à l’adresse IP d’une machine
cible du réseau. Ainsi, le serveur répercute la requête sur l’ensemble du réseau, le
flux de réponse en destination de la cible sera fortement multiplié.
 Fragmentation : (teardrop Attack) consiste à créer des erreurs lors de l’assemblage
des paquets en modifiant les numéros de séquences afin de générer des ‘blancs’ et
des recouvrements. La conséquence est de bloquer le service TCP/IP.
 Mail Bombing : Consiste à envoyer un grand nombre d'emails à un utilisateur cible
en provoquant une saturation de la boite empêchant ainsi la réception de mails
importants. Cet acte pourrait également saturer le débit Internet au niveau du routeur
qui desserve l’utilisateur en question.
 ARP43 Poisoning : Cette attaque se base sur l'envoi d'informations ARP falsifiés.
Ainsi, les différents équipements du LAN apprennent des mauvaises correspondances
adresses IP avec MAC. La conséquence est de rompre toutes communications entre
deux équipements IP. Les cibles sont souvent des serveurs et des routeurs rendant
indisponibles les services associés.

 Ping de la mort : (Ping of Death), consiste à envoyer des paquets ICMP44 de plus de
65535 octets. Au-dessus de cette limite, les piles IP ne savaient pas gérer le paquet
proprement, ce qui entrainait des erreurs de fragmentation UDP45, ou encore les
paquets TCP contenant des flags illégaux ou incompatibles.
 SYN : (Synflood) : Attaque utilisant une faiblesse du protocole TCP en se basant sur
l'envoi massive de demande d'ouverture de session SYN. L'objectif étant de saturer le
nombre maximum de sessions TCP en cours de l'équipement IP assaillis. Ainsi, lorsque
cette limite est atteinte, la cible ne pourra plus établir aucune session TCP causant
une indisponibilité de toutes ces applications en écoute de port TCP.
c. Attaques techniques
 Usurpation de l’adresse IP : Consiste à communiquer en réseau avec une fausse
adresse IP. Cette dernière peut être une adresse libre du réseau (afin de masquer
l’identité du communicant contre les attaques) ou plutôt une adresse d’une autre
machine (afin de bénéficier de ses privilèges s’ils existent). A noter que le protocole IP
ne vérifie pas les adresses sources des paquets. Ce genre de faits peut être évité en
utilisant certains algorithmes de chiffrements tels le IPsec46, SSL47, SSH48, ..etc.

42
Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes sur le même
réseau.
43
Le protocole ARP (Address Resolution Protocol) offre un mécanisme souple de correspondance entre adresses IP et adresses
physiques (appelées adresses MAC) sur un réseau local (LAN).
44
Le protocole ICMP (Internet Control Message Protocol de niveau 3 sur le modèle OSI, permet le contrôle des erreurs de
transmission et‎ permet‎ à‎ la‎ machine‎ émettrice‎ de‎ savoir‎ s’il‎ y‎ a‎ erreur‎ ou‎ incident‎ de‎ réseau.‎ Ainsi,‎ il‎ ne‎ permet‎ pas‎ l'envoi‎ de‎
messages d'erreur.
45
Le protocole UDP (User Datagram Protocol) fait partie de la couche 4 ( transport) du modèle OSI. Son rôle consiste à la
transmission de données de manière très simple entre deux entités définies par une adresse IP et un numéro de port à chacune
d’elles.‎Contrairement‎au‎protocole‎TCP, il fonctionne sans négociation, donc il ne garantit pas la bonne livraison des datagrammes
à destination, ni leur ordre d'arrivée. Il est également possible que des datagrammes soient reçus en plusieurs exemplaires.
46
Internet protocol security : utilisant la couche IPsec (équivalente à la couche réseau en OSI). Il assure les communications
sécurisées sur les réseaus IP notamment les transactions financières.
11
Techniques investigation Introduction

 Vol de session TCP : appelée session Hijacking, une technique qui consiste à
intercepter et prendre le contrôle d’une session TCP. Le principe consiste à utiliser
l’option source routing49 du protocole IP afin de modifier le chemin de retour des
paquets vers un routeur sous son contrôle. Si le pirate est situé sur un LAN, il peut
bloquer une machine par saturation et en prendre son adresse IP.
 Analyse ou écoute réseau (sniffer) : sont des sortes de sondes matérielles ou
logicielles placées au niveau de routeurs ou serveurs afin de visualiser le mouvement
de paquets et de récupérer – si nécessaire - à la volée des informations sensibles
lorsqu'elles ne sont pas chiffrées, comme des mots de passe, les emails (parfois sans
que les utilisateurs ou les administrateurs du réseau ne s'en rendent compte).
La technique du sniffing est en général malhonnête et indélicate, mais elle est souvent
nécessaire lorsque l'on est à la recherche d'une panne.
 Balayage de ports : ou portscan consiste à envoyer un paquet type TCP SYN, ACK,
NULL à un port et attendre la réponse qui peut être de 3 manières : a) TCP SYN/ACT
(accepte la connexion), b) TCP RST (connexion fermée) ou c) absence de réponse
(connexion droppée) due, en général à un pare-feu. En fonction de la réponse
retournée et si le port est ouvert, le pirate peut éventuellement déduire (moyennant
quelques autres tests) quels services actifs derrière ces ports. Ainsi, cela lui donnera
les diverses pistes possibles pour d’éventuelles attaques.
 Attaque par débordement de tampon : ou buffer overflow se produit lorsqu'une
application tente d'enregistrer plus de données qu'un tampon à taille fixe ne peut en
contenir. Dans ce cas, l’application écrase une adresse mémoire hors buffer ce qui
produira un arrêt du système. Les attaques par débordement de tampon envoient des
données dépassant la taille d'un tampon d'une application en exécution afin de toucher
d’autres zones mémoires. Les données envoyées peuvent être des instructions ouvrant
un interpréteur de commande (shell) par exemple et permettant au pirate de prendre
la main sur le système.
 Pollupostage : Spim50, spit51 : messages non sollicités reçu à travers certaines
applications, notamment les forums et chats52. l'utilisateur honnête est invité à cliquer
sur le lien proposé par le spimmeur pour se rendre sur un site contenant
potentiellement du code corrompu, ou télécharger la pièce jointe proposée par le
spimmeur, et que cette dernière soit porteuse d'un virus ou de tout autre programme
malveillant.
d. Attaques web
 Falsification des données : attaque du type XSS53 ou CSRF54 qui permet à un pirate
d’utiliser des données secrètes d’un utilisateur pour accéder à un site sécurisé.
L’accès au site considéré s’opère par l’utilisateur lui-même à travers un script
transparent inséré par le pirate sur une page visualisée par l’utilisateur.
 Manipulation d’URL55 : Attaque exploitant les failles d’urls et ce par la
manipulation de leurs contenus, notamment les noms de pages de bas niveau au sein
47
Secure Sockets Layer : protocole fonctionnant en mode client-serveur et assure certaines fonctionnalités de protection :
authentification, confidentialité et intégrité des données en utilisant un certificat numérique et la transparence.
48
Secure Shell : protocole permettant l’échange‎de‎données‎chiffrement‎en‎utilisant‎le‎cryptage‎symétrique.
49
Lors de l'envoi d'un paquet sur Internet la route est d'habitude choisie à la volée par les routeurs traitant le paquet. Dans le cas du
source routing, à l'inverse, les étapes suivies par le paquet jusqu'à sa destination sont fixées par l'expéditeur.
50
Spam Over Instant Messaging : Dérivé du spam qui touche la messagerie instantanée. Les logiciels touchés sont donc -entre autres-
MSN Messenger, Yahoo Messenger, AIM et ICQ.
51
Spam Over Internet telephony : spams envoyés par le biais des réseaux de voix sur IP.
52
Appelé également tchat, abrev. De tchatche : une application de messagerie instantanée qui permet à différents internautes de
dialoguer en direct, à travers une interface qui peut être un logiciel ou une page web.
53
CrossSite scripting : action malveillante permettant d'insérer du code dans une page web, permettant ainsi de provoquer des actions
sur les navigateurs web visitant la page.
54
Cross Site Request Forgery : attaques instantanée propre aux applications Web. Elle consiste à insérer un script dans une page web
ou de le camoufler dans un e-mail. En suivant le lien contrefait, le navigateur de la victime va exécuter une requête vers un site (une
banque par exemple) sur lequel la victime est authentifiée (données enregistrées en cookies).
55
Uniform Resource Locator : Instruction ou commande Web permettant d'accéder à une ressource définie par le contenu‎‎de‎l’URL.
12
Techniques investigation Introduction

d’un site complexe sensées protégées. Cette manipulation n’est pas contrôlée en
général par le concepteur de sites étant donné qu’elle n’est –en principe- pas
accessible par l’utilisateur.
Ce genre d’actes s’opère par talonnage à l’aveuglette par les pirates dans le but de
récolter des informations sensibles telles les paramètres d’administration du site
(admin.cgi), les informations de configuration du système distant (phpinfo) ou plutôt
des données de téléchargement restreint.
 injection de code malicieux: attaque du type heap Spraying56 qui consiste à insérer
de multiples instructions de saut vers une zone contenant le code d’attaque afin
d’avoir plus de chance de son exécution. Ce fait est déclenché par un clic de
l’utilisateur vers un lien camouflé par un message de spam ou image honnête. Le code
malicieux est en général du JavaScript conduit au téléchargement et exécution d’un
autorun du type svohost.exe qui s’exécute à chaque démarrage de la page et résiste
par conséquent aux antivirus.
 injection SQL : Consiste à injecter des requêtes SQL ou de paramètres de
commandes SQL non prévues par le système permettant ainsi de contourner les
restrictions de sécurité. Les pirates se basent sur les caractères spécifiques
notamment * et $ qui produisent diverses interprétations et permettent un champ de
sélection différent57.
6. Arnaques
Comprend les techniques d’escroquerie, de tromperie. Nous pouvons en distinguer
de quatre ordres
 Ingénierie sociale : Consiste à manière de soutirer des informations de la part des
utilisateurs par tous moyens disponibles, à savoir téléphone, courrier électronique,
courrier traditionnel, messagerie instantanée ou contact direct.
La technique se déroule conformément à un schéma de 3 étapes : a) approche
permettant de mettre l’utilisateur dans un client de confiance en se faisant passer
pour une personne respectable : cadre d’entreprise, entourage, client ou fournisseur,
.., b) alerte d’importance alarmante, telle occasion à ne pas rater ou prévention à
caractère sécuritaire, c) présentation de moyens ou preuves (théoriques) justifiant la
proposition58.

56
Cette‎ technique‎ est‎ une‎ version‎ améliorée‎ de‎ l’attaque‎ par‎ débordement‎ de buffer décrite plus haut. Le nombre important
d’instructions‎de‎saut‎augmentant‎la‎probabilité‎que‎l'une‎d‘entre‎elles‎soit‎exécutée‎au‎moment‎où‎le‎débordement‎se produit.
57
Avec le paramètre nom="XYZ" OR 1=1 ;
La requête SELECT * FROM noms WHERE nom="$nom";
Devient SELECT * FROM noms WHERE nom="XYZ" OR 1=1;
Ce‎qui‎signifie‎qu’elle‎sera‎toujours‎vraie‎et‎affichera‎tous‎les‎noms.
58
Un‎exemple‎d’approche‎illustrée‎par le message suivant :
« Bonjour,
Je suis très ravie et contente de vous écrire en ce jour. Me rassurant que vous ayez avec moi un coeur ouvert, je vous répondrai si vous acceptez ma
demande de correspondance malgré la différence qui existe entre nous. Je me nomme Jessica lapointe suis âgée de 32ans de nationalite cannadienne
mais residente à OTAWA et je suis déléguée médicale.
Je veux bien correspondre avec vous dans une idée claire et saine, et ne rien vous cacher. Je voyage beaucoup, et peux un jour me rendre dans ton
pays. Voilà pourquoi j'aimerais correspondance avec vous, pour connaître mieux mes semblables et surtout échanger de cultures. Dit-on l'Afrique est
riche en culture. En effet c'est après une longue recherche de mail sur les sites de correspondance que je suis arrivée à t'identifier parmi tant de
personnes Je serai auusi fiere de te voire ici au Canada, car actuellement je suis en attente d'une conférence (CNUCED) des Nations unies sur le
commerce et le développement avec le probleme d'environement Qu'organise la fondation FCD en partenariat avec les autres organisations
internationales, aux Canada. N'est tu pas interressé par cette cette conférence car ce sera une oportunitée pour moi de te voire en personne.Si oui
alors tu me faire signe pour que je te donne l'adresse à laquelle tu dois ecrire pour avoir de plus amples renseignements et pour savoir les conditions a
remplir pour prendre part à cette edition . Sache que je ferai tout ce qui est en mon pouvoir pour que tu prenne part à cette conference une fois que tu
as dejà la volonté .Voici l'adresse de l'organisation à l'aquelle tu vas ecrire pour avoir de plus amples renseignement :
fcdcanadasiege@rocketmail.com
Je veux que tu prenne soin de le lire et remplir les formalités et les conditions pour etre conforme à leur lois .Alors n'oublie pas de me mettre au
courrant des demarches à suivre . Je ferai tout pour toi pour le visa mais il suffit que tu sois sèrieux. Laisse moi un message apres avoir contacté
l'organisation. Merci de m'écrire et de me faire connaître »

13
Techniques investigation Introduction

 Loterie internationale : Le concept de loterie désigne le jeu de hasard où l’on tire


au sort des numéros gagnants correspondant à des lots. Au sens figuré, il désignerait
toute affaire de hasard.
Le principe de l’arnaque est le suivant: la future victime reçoit un courrier
électronique indiquant qu’elle est gagnante d’un prix de loterie (se chiffrant aux
millions de dollars). Pour empocher le pactole, il suffit de répondre à ce courrier.
Apres une mise en confiance et quelques échanges de courriers, éventuellement avec
des pièces jointes représentant des papiers attestant que le concerné est bien le
vainqueur, son interlocuteur lui expliquera que pour pouvoir toucher ladite somme, il
faut s’affranchir de frais administratifs, puis viennent des frais de douane, des taxes
diverses, etc. L’arnaqueur pour ce fait, utilise plusieurs mails différents avec de noms
différents correspondants aux acteurs de la comédie et répondra si l’utilisateur
essaye de vérifier certaines informations. Il disparaitra une fois l’utilisateur avance la
totalité ou une partie de ses exigences59.
 Fishing: ou hameçonnage qui consiste à amener par la ruse les utilisateurs Internet
à dévoiler des informations personnelles ou financières par le biais d’un message
électronique ou d’un site web frauduleux. Ce type d’escroquerie est généralement
initié par un message électronique apparemment officiel en provenance d’une source
de confiance, telle qu’une banque, une société de carte ou un commerçant en ligne
qui a bonne réputation. Le message électronique conduit alors les destinataires vers
un site web frauduleux où ils sont invités à fournir des informations personnelles,
telles qu’un numéro de compte ou un mot de passe. Ces informations sont
généralement exploitées à des fins de vol d’identité60.
 Scam61 : Elle consistait en l’envoi d’un message provenant d’une personnalité d’un
pays lointain qui possédait une somme d’argent importante (héritage, entreprise
pétrolière, compte bancaire abandonné, placement, etc62) et cherchait de l’aide pour
transférer ses fonds à l’étranger contre un pourcentage de sa fortune. Si la victime
accepte, on lui demandera petit à petit d’avancer des sommes d’argent destinées à
couvrir des frais imaginaires (notaires, entreprises de sécurité, droits de douanes, ..)
avant que le transfert ne soit effectif ; bien entendu, ce transfert n’aura jamais lieu63.

59
Un‎exemple‎d’arnaque‎type‎est‎donné‎par‎le‎spam‎suivant :
« Resultat.bill.gate à gagnant
Bonjour,
Nous avons le plaisir de vous annoncer que vous êtes l'un des heureux gagnants de la Fondation BILL GATE. Les résultats ont été libérés et vous fait bénéficier de 150.000 €. Nous
vous recommandons de fournir au Huissier GUY LEROY les informations telles que : Nom - Prénom - Sexe-Date de naissance -Profession - Téléphone (fixe) - Téléphone (mobile) -
Émail – Ville - Pays par email à l'adresse : huissier.guyleroy@yahoo.ca
Pour tous renseignements veuillez contacter la direction de revendication dirigé par JOHN COXTE A LONDRES : +44 70 111 74 524
Merci de vite faire diligence ».
60
Un‎exemple‎d’arnaque‎par‎hameçonnage‎est‎présenté‎par‎le spam suivant :
« Cher Membre,
En raison de la congestion de tous les utilisateurs de Hotmail et l'enlèvement de tous les comptes inutilisés Hotmail , Hotmail serait obligé de fermer votre compte, vous devrez
confirmer votre e-mail en remplissant vos informations de connexion ci-dessous au cas où le formulaire n’est pas totalement rempli votre compte sera suspendu dans les 72 heures pour
des raisons de sécurité.
Confirmation de votre identité. Vérification de votre compte Hotmail.
Nom Prénom Date de Naissance
Adresse Hotmail Région Pays
Mot de Passe Occupation
61
Arnaque à la Nigérienne ou Zaïroise, appelée aussi scam 419. La dénomination 4-1-9 vient du numéro de l'article du code nigérian
sanctionnant ce type de fraude.
62
L’arnaque‎peut‎assimiler‎divers‎sujets‎de‎préoccupation‎publique,‎notamment :
- Tirage au sort dans un pari quelconque (frais de gestion et transfert),
- Offre‎d’emploi‎inexistant‎(frais‎de‎permis‎de‎travail‎et‎voyage),
- Vente‎ d’équipement‎d’occasion à‎prix‎dérisoire‎ (Voitures,‎portables,‎ œuvres‎ d’art,‎ ..).‎ L’arnaqueur‎ exige‎ une‎ simple‎ avance‎ et‎
urgente bien entendu,
- Relations :‎l’arnaqueur‎usurpe‎l’identité‎d’une‎star‎ou‎une‎personne‎séduisante‎et‎demande‎des‎frais‎de‎voyage‎pour‎rencontre‎par‎
exemple.
63
Un exemple de message illustrant cette fraude est donné par ce qui suit :
« Bonjour cher Ami,
Je sais que cette lettre vous parviendra telle une surprise, pour le simple fait que nous ne nous sommes jamais rencontré. Soyez en rassuré car ce sont de bonnes intentions.
14
Techniques investigation Introduction

 Canular : appelé Hoax, un courrier électronique propageant une fausse


information64 et poussant le destinataire à diffuser la fausse nouvelle à tous ses
proches ou collègues. Ainsi, de plus en plus de personnes font suivre des informations
reçues par courriel sans vérifier la véracité des propos qui y sont contenus dans le but
de berner un grand nombre de personnes. Au côté technique, un canular provoque
divers problèmes (engorgement de réseux, désinformation, encombrement de boites
email, incrédulité, etc)65.

7. Projets de cours
Les étudiants sont invités à concevoir des projets de cours se rapportant aux thèmes définis plus bas.
 Le rapport doit vérifier les conditions suivantes :
 3 à 6 pages en format LNCS template A4, comportant entre autres un résumé, liste des mots clés, une
introduction, une conclusion et une liste complète de références.
 Une présentation en PowerPoint illustrant entre 10 et 20 fiches destinée à être exposée en cours pour une
présentation de 20 à 30 minutes.
 Le thème traité doit comporter les paragraphes suivants :
 Définition détaillée du thème,
 Historique et état de l’art s’il existe,
 Description du thème : définitions, alternatives, algorithmes, Schémas et exemples,
 Importance et Impact avec les preuves et les références,
 Exemples avec code (si nécessaire).

 Les thèmes doivent se rapporter aux sujets suivants :


1. Proxy. 12. Prinimalka.
2. Pare-feu. 13. Stuxnet
3. IP/TCP 14. Zeus
4. Caching, FAI et FH. 15. Citadel
5. Forums et messageries. 16. MTB et MTM.
6. Sites, blogs et liens. 17. Gozi
7. Botnets et machines Zombies. 18. Ping of Death.
8. DoS (Réflexion, Fragmentation) 19. SynFlood
9. Bombe logique. 20. Portscan et Sniffer.
10. Cheval de Troie. 21. Pollupostage
11. Carberp. 22. HeapSpray

Je suis Mr. USMAN DIALLO . Directeur du département d'audit d'une BANQUE au Burkina Faso. Pendant mes recherches à la banque, vers la fin de l'année dernière
2008, j'ai trouvé un montant énorme de Douze millions cinq cent mille dollars Américains (US12.5M) qui a été déposé dans un compte depuis 1999.
A partir d’une recherche approfondie, les résultats ont montré que le fond a été déposé par un Étranger qui a décédé avec toute sa famille au cours d’un accident d'avion en 2003. Et
depuis lors, le compte son compte est resté sans aucune réclamation de qui que ce soit, c’est à cet effet que je sollicite humblement votre aide et votre coopération afin de vous présenter à
la banque en tant que bénéficiaire de ces fonds pour notre bien commun.
64
Les idées utilisées dans les canulars (Hoax) dont diverses : appel SOS pour don de sang, trouver une personne disparue,‎mort‎d’une‎
personne‎importante,‎baisse‎de‎prix‎de‎devise,‎gain‎de‎loterie,‎…etc.
Les canulars connus : VirusHoax, Chatonsbonsais, Noelie, AlertHotmail, NABOB (Changer la taille de fichiers), i2bp (compression
de fichiers), IPOT (telecharger dans le futur), ..
65
Un‎exemple‎de‎ce‎type‎d’arnaque‎est‎présenté‎par‎le‎mail‎suivant :
Cher client,
Nos concurrents Nokia et Ericsson, donnent des mobiles gratuits sur leur site internet et nous, Alcatel, voulons résister à leur offre.
Donc nous donnons aussi nos téléphones One Touch VIEW DB derniers modèles qui sont tout particulièrement développés pour l’internet et nos heureux clients trouvent ces appareils
très avancés technologiquement. En donnant des téléphones gratuits, nous obtenons de la part de nos clients de bons retours et des effets importants de bouche à oreilles.
Tout ce que vous devez faire, c’est expédier ce message à 8 amis. Après un délai de livraison de deux semaines, vous recevrez un Alcatel One Touch MAX DB.
Si vous l’envoyer à 20 amis, vous recevrez le tout dernier Alcatel One Touch CLUB.
N’oubliez pas d’envoyer une copie à : jean.market@alcatel.com ; c’est, pour nous, la seule façon de vérifier que vous avez expédié ce message à 20 personnes.
Bonne chance
Jean market Directeur marketing
15