674 - Les pirates informatiques volent vos données : qui sont-ils, comment procèdent-ils et quelles sont les solutions ?

TAG (Threat Analysis Group) est l’équipe de Google responsable d’analyser et de bloquer les acteurs les plus sérieux visant Google et ses utilisateurs. L’équipe se concentre sur les attaques provenant de gouvernements malveillants et les acteurs motivés financièrement. 

Dans cette présentation, nous présentons le résultat de nos analyses sur trois groupes de pirates qui volent les données informatiques de leurs victimes en utilisant des logiciels malveillants pour des buts distincts. Nous présenterons leurs modes d’opération, leur évolution dans le temps, ainsi que les mécanismes que nous avons mis en place pour mieux protéger nos utilisateurs et nos produits. 

Cette présentation explore la dynamique et les caractéristiques des marchés illicites, en s'inspirant des marchés légitimes. Les marchés illicites sont ceux qui fonctionnent en dehors des cadres légaux et réglementaires, et qui impliquent souvent l'échange de biens et de services interdits, restreints ou soumis à un contrôle gouvernemental. Par le biais d'une analyse de la littérature existante et d'une étude de cas, cette présentation examine divers aspects de la réputation des participants aux marchés illicites. Plus spécifiquement, cette présentation utilise les recherches de Glückler & Armbrüster sur les consultants privés pour comprendre comment la réputation publique, la réputation basée sur l’expérience et la réputation réseautée convergent vers des performances criminelles plus ou moins élevées. Cette présentation souligne l'importance de comprendre les incitations et les motivations qui animent les participants des marchés illicites, ainsi que le rôle de la technologie et des réseaux sociaux dans la facilitation de leurs opérations. Dans l'ensemble, cette présentation offre un point de vue nuancé et complet sur la nature complexe et évolutive des marchés illicites, et fournit des informations précieuses aux décideurs politiques, aux services de répression et aux autres parties prenantes qui cherchent à résoudre ces problèmes. 

Les outils de contrôle à distance des ordinateurs sont de plus en plus utilisés par les organisations, tendance à la hausse en conséquence à l’augmentation du travail de la maison. Malheureusement, les chercheurs constatent que le nombre d’attaques de rançongiciels ciblées passant par ces protocoles d’accès à distance est devenu l’une des principales méthodes de propagation pour plusieurs familles de rançongiciels répandues. 

Pour comprendre les stratégies d’attaques des pirates informatiques qui passent par les protocoles d’accès à distance, nous avons déployés des embuscades (honeypots) sur internet afin d’observer les différentes stratégies utilisées par les attaquants : la combinaison du nom d'utilisateur et du mot de passe qu'ils essaient, l'utilisation d'une liste bien connue de mots de passe, le taux de fréquence de leurs attaques, le pays d’origine, le moment des attaques, etc. 

À travers cette présentation, nous ferons un bref survol du protocole de connexion à distance, de l’architecture de nos honeypots ainsi qu’une courte démonstration des opportunités de surveillance de notre outil. Nous poursuivrons par des analyses sur les tentatives de connexion et révélerons que, contrairement à ce qu'ont observé d'autres chercheurs, une proportion importante d'attaquants utilisent des stratégies sophistiquées dans leurs tentatives de connexion. Nous conclurons avec les meilleures pratiques afin d’éviter les risques inhérents à RDP.