La professionnalisation des hackers : histoire de la cybercriminalité

Les virus informatiques et les logiciels malveillants existent depuis des décennies. Dans les années 80 et 90, leurs créateurs étaient des férus de nouvelles technologies, prenant plaisir à démontrer l'étendue de leurs compétences et à tester leurs limites dans un esprit ludique. La plupart des premiers malwares étaient alors inoffensifs. Puis l'essor d'Internet a facilité la propagation des attaques et créé des opportunités significatives, tant financières que politiques.

Des attaques d’abord innocentes…

Un des pionniers, le virus Cascade ne provoquait pas de réels dégâts, puisqu’il ne modifiait aucun fichier, n’espionnait pas l’appareil infecté et ne s’emparait d’aucune donnée : ce virus se contentait de faire tomber une cascade de lettres qui s’amoncelaient au bas de l’écran, comme des feuilles tombées d’un arbre. De même, Ping Pong faisait rebondir une petite balle blanche sur les quatre côtés de l’écran. Le seul risque était d’assister au plantage de l’ordinateur, ce qui se produisait uniquement sur certains types de machines. À l’époque, les virus et les logiciels malveillants ne proliféraient en outre guère, se propageant essentiellement par l’échange de disquettes ; de sorte que plusieurs mois pouvaient s’écouler avant qu’un virus ne traverse les frontières. D’ailleurs, certains des premiers virus portaient le nom d’une ville, notamment Vienna ou Sevilla2.

C’est également au milieu des années 90 qu’Internet a décollé et que les néo-internautes se sont mis à partager des documents, offrant aux créateurs de virus un vecteur idéal pour diffuser leurs œuvres plus rapidement et plus largement que jamais. En 1999, les « vers » de messagerie électronique ont donc fait leur apparition, inaugurant une nouvelle ère qui durera plusieurs années. Melissa est par exemple le premier virus conçu pour s’auto-propager, s’expédiant automatiquement aux 50 premiers emails trouvés dans le carnet d’adresses électroniques de la victime. Ce ver n’était pas dangereux en soi, mais il a mis à terre nombre de serveurs de messagerie en raison du grand nombre de courriels envoyés simultanément. C’est aussi à cette époque que les « script kiddies », jeunes gens aux compétences en programmation relativement succinctes, se sont mis à créer leurs propres malwares en modifiant des virus de script comme ILOVEYOU, qui en 2000 avait infecté plus de 10 millions d’ordinateurs Windows à travers le monde. Dès 2003, un palier de taille fut néanmoins franchi avec l’apparition du ver Blaster, à l’origine d’attaque de grande envergure. Profitant d’une faille de Windows, ce virus était capable d’infecter n’importe quel PC Windows non patché, sans la moindre interaction avec son utilisateur. Il suffisait en effet que l’ordinateur soit connecté à Internet.

… aux enjeux financiers ensuite…

La digitalisation des activités quotidiennes a créé de nouvelles sources de profit pour les pirates informatiques. Peu de temps après l’apparition des services bancaires en ligne, les premiers chevaux de Troie bancaires — des logiciels malveillants conçus pour subtiliser les identifiants d’accès aux comptes en banque — ont vu le jour, apportant avec eux les toutes premières attaques de phishing. La cybercriminalité était née. Ces attaques ont évolué pour atteindre un niveau indiquant clairement que les auteurs de ces logiciels malveillants étaient de vrais professionnels. Ainsi, Zeus, également connu sous le nom de ZBOT, est apparu en 2007 et s’emparait des identifiants des utilisateurs, modifiait les formulaires des pages Web, ou encore redirigeait les internautes vers des sites frauduleux. De nombreux malwares lui ont succédé, parmi lesquels Gozi, Emotet ou SpyEye, et aujourd’hui encore, les pirates développent de nouvelles variantes qui échappent aux outils de détection et de sécurité.

Par la suite, les hackers ont continué à s’en prendre aux données personnelles sous différentes formes dans le but de gagner de l’argent, que ce soit en les revendant au marché noir ou en les chiffrant pour soutirer une rançon à leur propriétaire – ce que l’on appelle désormais le ransomware. Mais les comptes bancaires et les données personnelles n’étaient pas les cibles exclusives de ces nouveaux escrocs. Progressivement, les hackers ont revu leurs ambitions à la hausse et se sont rapidement tournés vers des entités de plus grande envergure et des entreprises disposant de nombreux actifs à protéger, susceptibles de verser des rançons plus élevées. Ils ont alors commencé à accéder aux réseaux des entreprises pour subtiliser les données institutionnelles, les chiffrer ou les dupliquer en menaçant de les rendre publiques, à moins qu’une certaine somme leur soit versée ; une stratégie très rentable. Certains hackers sont même allés jusqu’à proposer à leurs victimes des « services de conseil » pour mieux protéger leur réseau d’entreprise et éviter de nouvelles attaques. Car plus ces escrocs reçoivent d’argent, plus les attaques mises en place sont sophistiquées et leurs cibles importantes, qu’il s’agisse de grands comptes, de multinationales, ou même de pays.

…puis aux objectifs politiques

L’une des premières offensives menées contre un pays a eu lieu en Estonie en 2007, avec une série de cyberattaques visant les sites d’institutions nationales ; telles que le Parlement estonien, des banques, des ministères, des journaux et des sociétés de télédiffusion. Cette campagne a eu lieu dans le cadre du désaccord entre l’Estonie et la Russie à propos du déplacement du « Soldat de bronze » de Tallinn, un monument commémoratif érigé à l’époque soviétique, ainsi que de plusieurs tombes de guerre situées dans la capitale de la république balte. D’une sophistication inédite, l’assaut lancé contre ce pays est considéré comme un exemple majeur de cyberguerre soutenu par un État, mais également comme l’une des toutes premières « menaces persistantes avancées » (APT — Advanced Persistent Threat). Ces attaques de grande ampleur se déroulant sur une période étendue — parfois pendant plusieurs mois, parfois même quelques années — sont devenues de plus en plus courantes avec le temps.

Au-delà du vol de données, les attaques APT ont différents objectifs, telles que l’espionnage, l’extorsion, la prise de contrôle totale d’un site, voire le sabotage d’infrastructures organisationnelles ou de systèmes de surveillance pendant une longue période. Ces campagnes malveillantes visent les réseaux de grandes entreprises qui abritent des données sensibles — brevets, documents classés Secret Défense et autres informations financières confidentielles. Elles nécessitent des ressources financières et humaines nettement supérieures à une cyberattaque classique et, à ce titre, bénéficient généralement de l’appui financier d’une grande organisation criminelle ou d’une agence gouvernementale. L’un des exemples les plus marquants de ce type d’attaque se nomme Stuxnet. Découvert en 2010, il s’agit du premier virus connu capable de paralyser des équipements informatiques, et aurait été responsable des dommages considérables infligés au programme nucléaire iranien. Même si son origine n’a jamais été formellement identifiée, Stuxnet aurait été inventé par l’Agence de sécurité nationale américaine (NSA), la CIA et les services de renseignement israéliens.

Selon Statista, entre 2005 et 2019, le nombre d’internautes a quadruplé dans le monde, progressant de 1,1 à 4,1 milliards de personnes. Cette forte hausse, ainsi que l’innovation des logiciels et les applications actuels, ont bouleversé l’univers du piratage informatique. Après avoir entamé leur carrière en solo ou au sein de petits groupes, les cybercriminels sont aujourd’hui de véritables hommes d’affaires dont les motivations ont aussi elles évolué. Disparue l’époque où les hackers prenaient du plaisir à démontrer leurs aptitudes : l’objectif actuel est purement et simplement financier. Il est donc de notre devoir de nous protéger de façon optimale, afin qu’il soit le plus difficile possible de gagner de l’argent via des malwares.