De nombreuses entreprises accédant à la Bourse européenne du carbone (European Emissions Trading System, EU ETS) ont été visées avant-hier par une attaque de type phishing qui a permis le détournement de plus de 28 millions d'euros.

La Commission européenne a prononcé l'arrêt immédiat des transactions sur la plateforme EU-ETS a immédiatement, le 19 janvier dernier, peu après avoir constaté l'attaque.



Une attaque bien orchestrée


Le protocole stipule qu'une entreprise émettant moins de CO2 que son quota autorisé peut revendre ses "droits d'émission" en surplus à une entreprise dans la situation opposée, souhaitant émettre davantage de CO2 que ce à quoi elle est autorisée (oui oui, des êtres humains comme vous et moi ont conçu ce truc...)

Cette bourse aux "lots d'émission" est effectuée via plusieurs plateformes, accessibles en ligne, toutes interconnectées à une base de données centrale à l'échelle européenne. Bien entendu, il s'agit ici de transactions avoisinant dans certains cas plusieurs millions d'euros, à l'instar d'une plateforme d'opérations financières.

L'attaque aurait été accomplie grâce à des courriers électroniques frauduleux envoyés aux entreprises utilisant cette bourse. Le message invitait l'utilisateur à cliquer un lien redirigeant le navigateur vers une copie du site web original et invitant l'utilisateur à s'authentifier.

Après avoir capturé les noms d'utilisateurs et mots de passe, l'attaque se poursuit en trois phases: les pirates se connectent sous l'identité de l'entreprise contrôlée et déclenchent la vente des certificats d'émission à bas prix. Ils acquièrent ensuite les certificats dont ils viennent de provoquer la mise en vente, à bas prix, au travers d'autres sociétés dont ils ont également accès à l'identité bancaire. A partir de là, ils placent à nouveau les certificats d'émission en vente, mais à prix d'or cette fois, récupérant la plus-value au passage.


Quoi de neuf Docteur?


Il saute aux yeux que l'attaque a été rendue possible en raison d'un mécanisme d'authentification par mot de passe qui permet l'accès à une application capable d'opérer des transactions financières.

Bien que cette pratique soit littéralement condamnée par les professionnels de la sécurité de l'information depuis des années, de nombreuses organisations persistent à protéger l'accès à leurs systèmes par un simple "nom d'utilisateur/mot de passe".

Le problème de ce mécanisme réside dans la présence d'un secret à caractère statique: le mot de passe lui-même. En effet, une fois qu'un mot de passe est intercepté par un pirate informatique, ce dernier peut le réutiliser à loisir et ainsi agir sous l'identité volée.

D'une manière générale, l'authentification forte apporte une réponse efficace à cette menace. De nombreux mécanismes d'authentification forte (pas tous, précisons-le!) ajoutent une composante "variable" au secret demandé à chaque connexion. Telle la fameuse calculette mise à disposition de la clientèle bancaire, où l'utilisateur se voit challengé à chaque fois qu'il se connecte par une question différente, à laquelle seule la bonne carte peut répondre.


Problème connu alors?


Oui. Il s'agit d'un problème connu et l'Union Européenne en a déjà fait les frais en février 2010 lorsqu'une attaque similaire, révélée par la presse allemande, avait mené au détournement de plusieurs millions d'euros.

Il avait alors été décidé de basculer vers une authentification forte pour contrôler l'accès au système EU ETS. La Finlande, par exemple, a relié sa bourse de Carbone à son service d'authentification TUPAS exploitant une authentification forte, déjà mis en oeuvre pour l'accès aux établissements financiers finlandais. La presse indiquera probablement prochainement si la Finlande fait ou non partie des 14 pays impactés par l'attaque (sur 27 pays participants).



Pour en savoir plus:
- CO2 phishing
- Annonce de la brèche par la Commission européenne
- La bourse du carbone (wikipedia)
- EU closes its emissions trading system after thefts
- Cyber-attaques carbone: les pirates ne manquent pas d'air (itespresso.fr)
- Carbon Crooks Swapped Stolen Credits for $38 Million in Cash (ecosystem marketplace.com) (lecture recommandée si vous cherchez une analyse plus poussée)
- Phishing Scam Cripples European Emissions Trading (Spiegel online)