Quels remèdes apporter aux fuites de données à l’ère du RGPD ?

SECURITYMADEIN.LU a entamé la Cybersecurity Week Luxembourg 2019 au sein de la banque Raiffeisen, à l’invitation de l’association pour la protection des données au Luxembourg, l’APDL.

Au menu de cet événement : la violation de données à l’ère du RGPD. Alexandre Dulaunoy était parmi les intervenants, il dirige CIRCL, le C-SIRT public, ou l’équivalent des « pompiers de la cybersécurité », dédié aux entreprises et municipalités du Luxembourg.

Alexandre Dulaunoy a présenté un panorama des cyberattaques relatives à cette thématique. Il a également fait une démonstration en temps réel des outils de gestion d’incidents devant quelque 50 personnes, pour la plupart juristes. Cette approche technique est basée sur ses années de travail au sein de différentes structures publiques et privées mais également sur son expérience dans le développement d’outils et plateformes de « threat intelligence » tels que MISP et AIL.

« L’un des problèmes majeurs relatif aux données à caractère personnel, c’est le nombre quotidien de fuites, qui dépasse l’imagination », explique-t-il. « Cela constitue un paradoxe des plus complexes, il faut partager des données à caractère personnel afin de pouvoir informer les victimes de ces fuites, notamment en ce qui concerne les documents d’identité. Imaginons que vous perdiez votre passeport et que celui-ci soit utilisé à des fins frauduleuses. Le partage d’information est utile à la fois pour les forces de l’ordre mais également pour les banques afin de bloquer des lignes de crédits frauduleuses. Le paradoxe réside dans le fait que l’on soit dans l’obligation d’envoyer des informations personnelles afin de révéler une fuite d’informations à la victime. », précise A. Dulaunoy.

La cybercriminalité s’est professionnalisée.

Coexistent aujourd’hui des professionnels qui ont créé un marché parallèle de services illégaux et une clientèle assez large ayant accès au « darkweb » au travers de la démocratisation de plateformes telles que Tor. Par exemple, les voleurs de comptes Paypal ne les utilisent pas mais en font commerce sur le marché noir.

Lutter contre ce phénomène pose donc des problèmes éthiques : « peut-on tester les informations de connexions pour valider une liste ? », se demande Alexandre Dulaunoy. “ Le fait est que si nous ne le faisons pas et que nous transmettons à une banque une liste de comptes non testés, nous risquons de perdre en crédibilité. “

L’idée qui a motivé le développement de MISP était également de comprendre les techniques des attaquants, découvrir leurs outils et donc renforcer les solutions de protection. En ce qui concerne AIL, celui-ci est né d’une demande d’acteurs luxembourgeois de vérifier des fuites de données. L’idée était de dissocier la partie analyse de données de la partie détection. De cette manière, le logiciel peut rester libre et être installé dans toutes sociétés afin d’analyser les données collectées sans partager les résultats avec ses concurrents.

Les informations d’AIL viennent de différentes sources (pastebin, forums, …) et les modules servent notamment à catégoriser les listes de comptes en banque qu’ils soient sur le web ouvert mais aussi ceux d’utilisateurs qui ont été compromis et qui sont vendus sur des sites marchands illégaux. L’objectif est de trouver le service d’où viennent ces mots de passe afin de contacter le fournisseur de service pour lui indiquer la fuite. Pour cela on s’est rendu compte que beaucoup d’utilisateurs utilisent le nom du service dans leur mot de passe.

Une autre approche consiste dans le « social engineering » qui peut être effectué pour comprendre la manière d’agir des attaquants. Par exemple, l’outil SQL map est très répandu parmi les attaquants pour trouver des failles dans un site internet, et ceux-ci partagent régulièrement les résultats de leur analyse. Grâce à AIL ces informations peuvent être récupérées afin de détecter les préparations d’attaques ou des failles potentielles. Les équipes de CIRCL essayent également de trouver des doubles, ou des similarités dans les méthodes d’attaque ou les informations utilisées. Beaucoup d’attaquants ne sont pas très compétents aussi ils réutilisent des fuites d’informations déjà connues. Cela permet à AIL de retracer la manière dont la fuite de données a été provoquée.

Il existe aussi une partie crawler qui permet de scanner les « onions » (adresses de services cachés), qui sont utilisés sur TOR. Selon nos estimations, l’utilisation non légitime sur ce réseau informatique fluctue entre 60 à 80% du trafic. On retrouve de cette manière qui sont les vendeurs de produits et services illégaux tels que les cartes de crédit. Notamment vu que les cyber-criminels ont besoin de promouvoir leurs services en utilisant les médias et réseaux sociaux.

Afin de les retrouver il est aussi possible d’utiliser Google Analytics qui peut présenter des configurations identiques d’un site à l’autre et ainsi identifier qu’ils ont été créés par le même acteur. Cette méthode s’applique également dans le cas de certaines images qui sont utilisées sur différentes plateformes. CIRCL traque également les adresses de crypto monnaies (Bitcoin, Ethereum, …) au travers des différents sites où elles sont utilisées afin de comprendre quelles sont les activités illégales d’un acteur.

La collecte de ces informations sert notamment en tant qu’historique. Dans le cas où une banque subit une attaque cela permet d’identifier l’acteur et sa méthodologie d’attaque. AIL est l’outil de « débroussaillage » de l’information. Une fois que l’événement est cerné plus précisément, il est intéressant de passer à MISP.

MISP est également intéressant pour faire des corrélations, notamment au travers d’adresses bitcoin. CIRCL a effectué une analyse économique des extorsions. La somme totale que les attaquants ont réussi à détourner s’élève à 800.000 euros sur la seule région Benelux, France et Allemagne. Cependant, la somme réellement encaissée est de 590.000 euros. Cela s’explique par la complexité, bien que relative, de transformer les crypto monnaies en argent réel. Cette opération étant limitée par les normes bancaires. MISP permet aussi de partager des comptes en banques notamment ceux qui peuvent être utilisées par des mules. Est-ce qu’un compte bitcoin est une donnée à caractère personnelle ? Est-ce que l’adresse d’un compte en banque d’une mule en est également ? La limite doit être trouvée.

La GDPR a apporté une évolution positive au Luxembourg. Avant sa mise en pratique il fallait faire une notification au parquet pour chaque activité de traitement. Aujourd’hui il y a des listes d’actions qui sont légalement encadrées, ce qui laisse plus de liberté d’action aux acteurs de la cybersécurité. La recherche de preuves, ou « forensic » dans le cadre judicaire est également simplifié au Luxembourg. Ce qui est collecté est à la discrétion de l’officier de police judiciaire et ne doit pas répondre à une liste de critères. L’analyse technique en amont d’un dépôt de plainte peut également constituer une preuve dans le cas d’une remise volontaire.

La complexité légale peut être une source de problèmes sachant qu’il est plus simple et rapide pour des criminels, de partager l’information, que pour deux banques. Il n’y a actuellement pas d’incitations légales ou financières pour partager les informations. CIRCL essaye également de réduire le temps de notification des données aux utilisateurs. Par exemple, la liste TR46 permet de rapidement détecter quelles sont les fuites qui touchent des constituants luxembourgeois.

Maître Jérôme Commodi, membre de l’APDL, est ensuite intervenu pour faire une revue du cadre juridique dans lequel les cyberattaques doivent être abordées. Il a notamment relevé que les suites pénales étaient rares, étant donné que les victimes ne souhaitent pas nécessairement rendre l’information publique.

Pour plus d’informations sur ces plateformes n’hésitez pas à contacter les équipes de CIRCL.