Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

2 3 La cybercriminalité au Maroc, 2010 Tous droits réservés, y compris droits d

2 3 La cybercriminalité au Maroc, 2010 Tous droits réservés, y compris droits de reproduction totale ou partielle sous toutes formes. Dépôt légal : 2010 MO 1585 ISBN : 978-9954-9072-0-7 4 A mon fils Ismail 5 Remerciements Ce livre n’aura pas été possible sans le soutien de plusieurs personnes. Mes pensées vont notamment à : - Jean-Guy RENS, auteur du livre « L’empire invisible » et président de l’association canadienne des technologies avancées qui m’a fait part de ses précieux conseils tout au long de la rédaction de ce livre. - Mohamed CHAWKI, auteur du livre « Combattre la cybercriminalité » et président de l’association internationale de lutte contre la cybercriminalité qui a accepté de rédiger la préface de ce livre. - Nabil OUCHN, co-fondateur de Netpeas et expert en sécurité qui a apporté sa contribution et son témoignage sur l’univers de l’Underground marocain. - Tous les consultants sécurité de la société DATAPROTECT, notamment Hamza HAROUCHI et Othmane CHAFCHAOUNI qui m’ont soutenu tout au long de ce travail. - Tous mes anciens collègues de BT NET2S avec qui j’ai partagé des moments forts pendant plus de trois ans. Je pense notamment à mon équipe sécurité. Rabii AMZERIN, Younes BOURRAS, Younes ZAKIDDINE et Mohamed Amine LEMFADLI. Je vous remercie tous ! 6 Table des matières Préface ................................................................................................................................ 12 Introduction ....................................................................................................................... 14 Chapitre 1 : Démystification de la cybercriminalité ........................................................... 16 1. La cybercriminalité : concepts et enjeux .................................................................... 17 1.1 La cybercriminalité : Un nouveau concept ......................................................................17 1.2 La cybercriminalité : Une activité en pleine croissance ....................................................17 1.3 La cybercriminalité : Une activité rentable ......................................................................18 1.4 La cybercriminalité : Une activité facile ..........................................................................20 1.5 La cybercriminalité : Une activité à faible risque .............................................................20 1.6 La cybercriminalité : Une activité organisée ....................................................................20 2. Démystification de la notion de la sécurité de l’information ...................................... 21 2.1 La sécurité n’est pas seulement un enjeu technologique .................................................21 2.2 L’être humain est le maillon faible de la chaîne de la sécurité ..........................................23 2.3 Les incidents de sécurité ne viennent pas juste de l’externe ............................................25 2.4 La sécurité, ce n’est pas juste la confidentialité ..............................................................26 2.5 Faire de la sécurité, c’est être « fermé » dans un environnement complètement ouvert ....... ...................................................................................................................................28 2.6 La fin de la sécurité périmétrique ..................................................................................29 2.7 L’exploit d’une vulnérabilité est de plus en plus rapide ....................................................31 2.8 Assurer la sécurité de son SI est de plus en plus une contrainte réglementaire.................32 2.8.1 Les accords de Bâle II ..............................................................................................32 2.8.2 PCI DSS ...................................................................................................................33 2.8.3 Sarbanes Oxley ........................................................................................................34 2.9 Le RSSI : un nouveau métier ........................................................................................35 2.10 La sécurité est une question de gouvernance .................................................................37 2.10.1 ISO 27001 .........................................................................................................37 2.10.2 ISO 27002 ........................................................................................................39 Chapitre 2 : Les multiples visages de la cybercriminalité .................................................. 42 1. L’ordinateur comme moyen ou cible d’actes cybercriminels ...................................... 43 1.1 L’atteinte à la confidentialité .........................................................................................43 7 1.1.1 L’attaque virale ........................................................................................................44 1.1.2 Le Phishing ..............................................................................................................48 1.2 L’atteinte à la disponibilité .............................................................................................51 1.2.1 Le DoS et le DDoS ....................................................................................................51 1.3 L’atteinte à l’intégrité ....................................................................................................56 1.3.1 Défacement des sites web ........................................................................................57 1.4 L’atteinte à la preuve ....................................................................................................59 1.4.1 L’atteinte logique ......................................................................................................59 1.4.2 L’atteinte physique ...................................................................................................59 1.5 Les outils utilisés ..........................................................................................................60 1.5.1 Le Botnet .................................................................................................................60 1.5.2 Le Keylogger ............................................................................................................64 1.5.3 Le Rootkit ................................................................................................................65 2. L’ordinateur comme facilitateur d’actes cybercriminels ............................................ 66 2.1 L’escroquerie ................................................................................................................66 2.2 La fraude à la carte bancaire .........................................................................................68 2.3 Le blanchiment d’argent ...............................................................................................71 2.4 Le cyberterrorisme .......................................................................................................76 2.5 La pédophilie sur l’internet ............................................................................................80 Chapitre 3 : L’écosystème de la cybercriminalité au Maroc ............................................... 84 1. L’univers Underground ............................................................................................... 85 1.1 Les acteurs de l’univers Underground ............................................................................86 1.1.1 Le hacker .................................................................................................................86 1.1.2 Les black hat hackers ...............................................................................................86 1.1.3 Les « script kiddies » ................................................................................................87 1.1.4 Les phreakers ..........................................................................................................87 1.1.5 Les carders ..............................................................................................................88 1.1.6 Les crackers .............................................................................................................88 1.1.7 Les hacktivistes ........................................................................................................88 1.2 Quelques mythes entourant l’univers Underground .........................................................89 1.2.1 Le cyberdélinquant est-il un expert informatique ? ......................................................89 1.2.2 Le cyberdélinquant est-il quelqu’un d’organisé ? .........................................................89 1.2.3 Le cyberdélinquant est-il un introverti ? .....................................................................90 1.3 Les principales motivations des acteurs de l’univers Underground ....................................91 1.3.1 La curiosité intellectuelle ...........................................................................................91 1.3.2 L’Ego .......................................................................................................................91 1.3.3 L’idéologie ...............................................................................................................92 8 1.3.4 L’argent ...................................................................................................................93 2. Les éditeurs, constructeurs, intégrateurs, distributeurs, cabinets conseils, hébergeurs et les cybercafés. ................................................................................................................ 95 2.1 Les éditeurs et les constructeurs ...................................................................................95 2.2 Les intégrateurs et les distributeurs ...............................................................................96 2.3 Les cabinets conseil ......................................................................................................97 2.4 Les hébergeurs ............................................................................................................97 2.4.1 Le recours aux hébergeurs dits bulletproof .................................................................97 2.5 Le cybercafé ................................................................................................................99 3. Les centres de recherche et de formation ................................................................ 100 3.1 La recherche .............................................................................................................. 100 3.2 La formation .............................................................................................................. 101 3.2.1 L’enseignement académique ................................................................................... 101 3.2.2 Les certifications en sécurité ................................................................................... 101 4. Les organes institutionnels d’investigation, de répression et de veille .................... 103 4.1 L’investigation et la répression .................................................................................... 103 4.2 La veille et le signalement ........................................................................................... 108 4.2.1 La veille ................................................................................................................. 108 4.2.2 Le signalement ....................................................................................................... 109 5. Les acteurs institutionnels internationaux .................................................................. 110 Chapitre 4 : L’arsenal juridique face à la cybercriminalité au Maroc ............................... 112 1. La loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données ..................................................... 113 1.1 Les intrusions ............................................................................................................. 114 1.1.1 L’accès frauduleux dans un STAD ............................................................................ 114 1.1.2 Le maintien frauduleux dans un STAD ..................................................................... 116 1.2 Les atteintes .............................................................................................................. 117 1.2.1 Les atteintes au fonctionnement d'un STAD ............................................................. 117 1.2.2 Les atteintes aux données ....................................................................................... 118 2. La loi 53-05 relative à l’échange électronique de données juridiques ..................... 119 2.1 La preuve .................................................................................................................. 119 2.1.1 La redéfinition de la preuve littérale ......................................................................... 119 2.1.2 La consécration de la force probante de l’écrit électronique ....................................... 120 2.2 La signature électronique ............................................................................................ 120 2.2.1 La reconnaissance juridique de la signature électronique .......................................... 121 2.2.2 Les prestataires de services de certification .............................................................. 122 9 3. La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ................................................................ 125 3.1 La nature des données à protéger ............................................................................... 125 3.2 Les droits de la personne concernée ............................................................................ 126 3.2.1 Le droit à l’information ............................................................................................ 127 3.2.2 Le droit d’accès ...................................................................................................... 127 3.2.3 Le droit de rectification ........................................................................................... 127 3.2.4 Le droit d’opposition ............................................................................................... 127 3.3 Les obligations du responsable du traitement ............................................................... 128 3.3.1 Déclaration préalable .............................................................................................. 128 3.3.2 Autorisation préalable ............................................................................................. 129 3.3.3 Obligation de confidentialité et de sécurité des traitements et de secret professionnel 129 Chapitre 5 : Vers la confiance numérique au Maroc ......................................................... 132 1. L’Etat de l’art des tentatives étatiques pour garantir la confiance numérique .............. .................................................................................................................................. 133 1.1 L’exemple des Etats-Unis ............................................................................................ 133 1.2 L’exemple de la France ............................................................................................... 135 2. La confiance numérique au Maroc ............................................................................ 135 2.1 Le renforcement du cadre législatif .............................................................................. 136 2.1.1 Protéger les personnes physiques à l’égard des traitements de données à caractère personnel ........................................................................................................................... 137 2.1.2 Favoriser la dématérialisation des transactions électroniques .................................... 137 2.1.3 Soutenir le développement du commerce électronique.............................................. 138 2.2 Mise en place des structures organisationnelles appropriées.......................................... 140 2.2.1 Mettre en place le Comité de la Sécurité des Systèmes d’Information ........................ 140 2.2.2 Mettre en place le ma-CERT .................................................................................... 141 2.2.3 Mettre en place un tiers de confiance ...................................................................... 145 2.2.4 Mettre en place la commission nationale de la protection des données personnelles ... 145 2.2.5 Développer des sites de back-up ............................................................................. 145 2.3 Promotion d’une culture de sécurité ............................................................................. 146 2.3.1 Mettre en œuvre un programme de sensibilisation et de communication sur la SSI .... 146 2.3.2 Mettre en place des formations sur la SSI à destination des élèves ingénieurs ............ 147 2.3.3 Mettre en place des formations à destination des professions juridiques .................... 148 2.3.4 Définir une charte des sites marchands .................................................................... 149 Conclusion Générale ......................................................................................................... 150 Bibliographie .................................................................................................................... 152 Ouvrages ........................................................................................................................... 152 10 Rapports ........................................................................................................................... 153 Sites utiles ........................................................................................................................ 154 Table des illustrations Figure 1 : Les trois dimensions de la sécurité .................................................................................22 Figure 2 : Un exemple de la faille humaine ....................................................................................24 Figure 3 : Top 10 des vulnérabilités applicatives .............................................................................30 Figure 4 : Le cycle de vie de la vulnérabilité ...................................................................................31 Figure 5 : Les rôles, les objectifs et les chantiers du RSSI ...............................................................36 Figure 6 : Le modèle PDCA ...........................................................................................................37 Figure 7 : Les 11 chapitres de la norme ISO 27002 ........................................................................40 Figure 8 : L'évolution du nombre de virus ......................................................................................45 Figure 9 : Les vecteurs d'infection virale ........................................................................................46 Figure 10 : 10 ans de lutte antivirale .............................................................................................47 Figure 11 : L’évolution des attaques DDoS .....................................................................................54 Figure 12 : La structure d'un Botnet ..............................................................................................61 Figure 13 : L’évolution du nombre de PC zombies durant le 1er semestre 2009 ................................62 Figure 14 : Les principaux pays responsables de la création des zombies .........................................63 Figure 15 : L'ampleur du phénomène du SPAM ..............................................................................64 Figure 16 : Exemple de blanchiment d'argent via une mule .............................................................74 Figure 17 : Réexpédition de marchandises "douteuses" par une mule ..............................................75 11 12 Préface La cybercriminalité fait partie des conduites les plus odieuses que l’on ait pu imaginer. Hélas, l’apparition de nouvelles technologies comme celle de l’internet a permis l’amplification de ce phénomène insupportable, au point que cette infraction est devenue l’une des sources majeures de profits uploads/Litterature/ screenshot-2021-04-25-at-20-37-42.pdf