Pour rendre Internet plus sûr, il faut mettre en place un Net Interpol...
De nos jours, les cyber-criminels gèrent leurs crimes comme une entreprise : ils sous-traitent, créent des propositions à valeur ajoutée, réduisent les coûts. Au final, les malware qui foisonnent sur Internet sont totalement différents des virus passés
La cybercriminalité s'est installée pour resterNotre société a évolué à tel point, que, pour bon nombre d'entre nous, une partie importante de notre vie se déroule sur le Net. Ce monde virtuel est sous bien des aspects un reflet fidèle du monde réel. C'est tout naturellement que les criminels, qui font malheureusement partie intégrante de notre organisation sociale, ont eux aussi pris leurs quartiers dans le monde virtuel. La présence des cybercriminels est aujourd'hui plus évidente en raison de la liberté et de la croissance des échanges économiques et de l'information, qui sont des cibles chaque jour plus alléchantes.
Le milieu de la cybercriminalité touche désormais à maturité, avec des complémentarités et des modèles d'affaires déjà bien implantés. En effet, c'est ouvertement et tout à fait librement qu'une nouvelle catégorie d'agents criminels participe à l'achat ou à la vente de codes malveillants. Le profil des cybercriminels couvre aussi bien les petits voleurs qui dérobent de petites sommes d'argent à un grand nombre de victimes, que les fraudeurs à grande échelle, qui volent de grandes sommes d'argent en une seule fois.
Les activités criminelles s'inscrivent toujours dans la mouvance des affaires légales - l'image du comptable travaillant pour la mafia nous vient immédiatement à l'esprit. Toutefois, la cybercriminalité ne se présente pas encore sous la forme d'une ou de plusieurs organisations de taille planétaire, où l'on trouverait un mystérieux "Dr. No" aux commandes. Malgré tout, il s'agit déjà d'un univers interdépendant, organisé autour de certains groupes présentant des caractéristiques complémentaires.
Prenons l'exemple d'un individu qui possède le contrôle d'un "botnet" (réseau d’ordinateurs robotisé), capable de lancer des attaques DDoS ou de distribuer des pollupostages : il aura besoin d'adresses de courrier électronique. Quelqu'un d'autre, que notre propriétaire de botnet n'a pas besoin de connaître ou de contacter, pourra alors satisfaire ce besoin en dérobant puis en lui revendant les adresses nécessaires.
Ce modèle reflète sous bien des aspects le monde légitime des affaires. De même que la présence d'une usine de moteurs favorise dans la même région l'apparition d'industries secondaires, spécialisées dans la production d'écrous ou de carburateurs, il n'est pas nécessaire pour les cybercriminels que les échanges soient organisés, mais seulement qu'ils répondent à un intérêt réciproque.
Le cybercrime est un métier "rentable"
Le crime contemporain est un métier comme un autre. La cybercriminalité est une forme d'exploitation économique qui répond aux mêmes critères de gestion traditionnels, telles que la rentabilité ou la gestion des risques, la facilité d'utilisation des produits ou l'importance des marchés émergents.
Le critère le plus important pour n'importe quelle entreprise étant la rentabilité, la cybercriminalité ne fait pas exception à la règle. C'est un fait que la cybercriminalité est extrêmement profitable. De grandes sommes ont été volées avec succès, tantôt en une seule fois, tantôt par petites quantités mais en très grand nombre. Rien qu'en 2007, par exemple, chaque mois, des actions cybercriminelles d'envergure étaient commises :
- Janvier 2007 - Des pirates russes, avec l'aide d'intermédiaires suédois, auraient détourné 800 000 euros de la banque suédoise Nordea.
- Février 2007 - La police brésilienne arrête 41 pirates pour avoir utilisé un cheval de Troie pour voler les accès à des comptes bancaires et détourner 4,74 millions de dollars.
- Février 2007 - dix-sept membres du "Gang des fraudeurs d'Internet" sont arrêtés en Turquie après le vol de près de 500 000 dollars.
- Février 2007 - Li Jun est arrêté pour être s'être servi du virus "Panda burning Incense", pour le vol de comptes d’accès utilisateurs à des jeux en ligne et de messagerie instantanée (IM) ; les ventes de son programme malveillant auraient rapporté près de 13 000 dollars.
- Mars 2007 - Cinq ressortissants d'Europe de l'Est sont emprisonnés au Royaume Uni pour une fraude à la carte bancaire ; ils auraient dérobé 1,7 millions de livres.
- Juin 2007 - 150 cybercriminels sont arrêtés en Italie ; ils sont accusés d'avoir bombardé des utilisateurs italiens avec des faux messages, qui leur auraient rapporté 1,25 millions d'euro sous forme de gains frauduleux.
- Juillet 2007 - Des cyber-délinquants russes sont accusés d'avoir utilisé un cheval de Troie pour voler 500 000 dollars dans des banques de Turquie.
- Août 2007 - L'ukrainien Maxim Yastremsky (alias "Maksik") est arrêté en Turquie, accusé d'avoir empoché dix millions de dollars après le vol d'identificateurs.
- Septembre 2007 - Gregory Kopiloff est condamné aux États-Unis pour avoir utilisé les logiciels de partage de fichiers (P2P) Limewire et Soulseek pour collecter des données qu'il employait pour des usurpations d'identité ; il aurait gagné des milliers de dollars par la commercialisation de données volées.
- Octobre 2007 - Greg King est arrêté aux États-Unis pour avoir participé en février 2007 à une attaque DDoS sur la société Castle Cops ; il affronte une peine maximum de 10 ans de prison et 250 000 dollars d'amendes.
- Novembre 2007 - Le FBI arrête huit personnes dans la deuxième phase d’une opération anti-botnets "Operation Bot Roast", évitant des pertes économiques chiffrées à plus de 20 millions de dollars, et concernant plus d'un million d'ordinateurs pris comme victimes.
- Décembre 2007 - Des cyber-délinquants pénètrent par effraction dans les ordinateurs du Laboratoire National d'Oak Ridge (ORNL) dépendant du Département de l'Énergie des Etats-Unis ; le Laboratoire National de Los Alamos et celui de Lawrence Livermore auraient été également leurs cibles. Plus de 12 000 numéros de sécurité sociale et les dates de naissance des visiteurs de l'ORNL auraient été volés entre 1999 et 2004. Cette effraction pose un problème d'échelle nationale dans la mesure où ces personnes risquent à l'avenir d'être les victimes d'usurpations d'identité ou de fraudes bancaires.
Ces exemples ne sont que la partie émergée de l'iceberg. Les victimes et les organismes chargés des enquêtes ont tendance à garder ce genre d'affaires secrètes, pour éviter de faire de la publicité autour d'elles. Les enquêtes concernant la majorité des cybercrimes sont menées en interne par les sociétés concernées, ou par des services officiels agissant sous secret judiciaire. Les résultats ne sont presque jamais rendus publics.
Une activité facile et à faible risque
Le deuxième facteur essentiel dans la croissance de la cybercriminalité, entendue comme une activité commerciale, est le degré minimum de risques, comparé aux chances de réussite. Dans le monde réel, la dimension psychologique avec la prise de risques réels du crime assure un certain effet de dissuasion. Mais dans le monde virtuel, les criminels ne sont jamais directement en contact avec leurs victimes ni avec les différentes sociétés qu'ils décident d'attaquer. Il est beaucoup plus facile de voler des riches ou quelqu'un que vous ne pouvez ni voir, ni toucher ni même connaître.
Pour profiter de cet anonymat, il existe de nombreuses ressources disponibles permettant de mettre au point des solutions complètes. Ces "solutions" vont de l'usage de la simple vulnérabilité, jusqu'à l'emploi des chevaux de Troie permettant d'automatiser des réseaux d'ordinateurs ou "botnets".
Le niveau d'expertise technique requis pour un projet cybercriminel est inversement proportionnel au nombre de personnes familiarisées avec Internet.
La mise à profit du Web 2.0
L'avalanche de nouveaux services disponibles sur Internet, s'adressant à une population mondiale de plus en plus disposée à les adopter, contribue également au "succès" de la cybercriminalité. Voici les secteurs les plus particulièrement vulnérables aux attaques :
- Services financiers et commerce électronique - Les sites de e-commerce et les banques en ligne, qui s'efforcent de favoriser les transactions financières, jouent sur la corde raide à force de rechercher le meilleur compromis entre la vitesse des prestations et les critères de sécurité.
- Services de stockage des données et applications Web - Grâce au volume croissant de données et d'applications décentralisées sur des serveurs distants, les cyber-criminels parviennent à en détourner le trafic pour accéder à des informations financières, confidentielles ou propriétaires.
- Jeux en ligne - Ces délits comprennent le vol de mots de passe et de propriétés virtuelles, qui sont revendus avec un profit substantiel.
- Services boursiers en ligne - Ces solutions commodes et rapides pour réagir aux fluctuations des marchés boursiers sont une cible tentante pour les criminels, en raison de la forte liquidité des actifs échangés sur les marchés boursiers.
- Web 2.0 - Réseaux sociaux, blogs, forums, wikis, MySpace, YouTube, Twitter - tous ces services en ligne jouent sur la facilité de téléchargement, de publication et d'autres techniques d'échange des informations, qui rendent leurs utilisateurs vulnérables aux infections de logiciels malveillants.
Chaque génération de criminels fait le choix de ses propres outils. En 2008, les cybercriminels affichent une préférence pour les chevaux de Troie permettant de gérer des botnets, de voler des mots de passe ou des informations confidentielles, de mener des attaques DoS ou encore, de chiffrer des données pour faire du chantage aux victimes. La tendance vise à maintenir la présence de logiciels malveillants dans les machines infectée. Les cybercriminels font appel à plusieurs techniques pour y arriver.
Certains choisissent de mener discrètement des attaques contre certains organismes spécifiques. La création de code malveillant pour une seule cible est à la fois longue et d'un déploiement compliqué. Mais une fois lancée, ce type d'attaque ciblée a presque toutes les chances de réussir. D'habitude, ces attaques ciblées génèrent un retour sur investissement significatif, ce qui en fait une modalité restreinte, mais importante dans le secteur de la cybercriminalité.
Actuellement, les réseaux robotisés d'ordinateurs sous contrôle, ou "botnets", sont mis en oeuvre à partir d'un nombre abordable de machines, ce qui permet d'en automatiser la gestion et de traiter les données récupérées. Les bénéfices dépendent aussi bien du nombre de victimes que de la fréquence d'introduction de nouveaux logiciels malveillants. Plus grande est la longévité des logiciels malveillants, et plus le volume de recettes grandit, en raison du nombre de machines infectées. Parmi les méthodes les plus fréquentes et efficaces utilisées par les cybercriminels pour augmenter leurs "bénéfices", on décèle aujourd'hui la concurrence, pour se réserver le contrôle des machines, et le sabotage des solutions de sécurité.
Les cybercriminels s'appuient sur deux techniques : distribution et déploiement
D'une façon générale, pour atteindre leur but, les cybercriminels doivent mettre en oeuvre deux types de techniques différentes : la distribution d'une part, et le déploiement d'autre part de leur code malveillant.
La première phase, pour n'importe quel cyber-délit, est la distribution et l'installation du code malveillant. Les cybercriminels emploient un certain nombre de techniques dans ce but. Les principales techniques de distribution des logiciels malveillants, font aujourd'hui appel au pollupostage et aux sites Web infectés, également désignés comme "vecteurs d'infection". L'installation idéale est une machine vulnérable permettant une installation immédiate du code malveillant, qu'il soit distribué par pollupostage ou dans un scénario "téléconduit", c'est-à-dire où le malware est téléchargé par la victime elle-même, lorsqu'elle visite un site Web.
Une fois distribué, les criminels s'efforcent de faire en sorte que le logiciel malveillant reste indétecté le plus longtemps possible. Les auteurs emploient un certain nombre de stratégies techniques pour maximiser la durée de vie des composants de leur logiciel malveillant.
La stratégie principale est de rester invisible, non seulement lors de la distribution du logiciel malveillant, mais aussi pour en assurer la survie. De l'invisibilité du logiciel malveillant face aux systèmes heuristiques de prévention antivirus et aux mécanismes de contrôle antipiratage dépendra en effet le temps dont disposera le logiciel pour pénétrer dans les machines infectées et récupérer les données.
L'invisibilité est habituellement obtenue moyennant des techniques de masquage des processus ("rootkit") ; la suppression des messages d'erreur système ; la dissimulation de l'augmentation de taille des fichiers ; la compression répétitive avec plusieurs outils de compression et la suppression des messages d'avertissement de l'antivirus.
Les cyber-délinquants font également un grand usage des techniques d'obscurcissement du code, afin d'en éviter la détection. Le polymorphisme était une technique d'obscurcissement répandue pendant les années 90, qui avait pratiquement disparu. Aujourd'hui, le polymorphisme est de retour, mais les auteurs malveillants tentent rarement de muter leur code directement sur la machine de la victime.
La nouvelle tendance est plutôt de gérer le polymorphisme côté serveur, c'est à dire en recompilant le code sur les serveurs Web, à l'aide d'instructions du type "ne rien faire", pour les faire muter dans le temps, ce qui rend plus difficile la détection des nouvelles versions sur le serveur. Il existe aujourd'hui des sites Web où des automates recompilent le programme malveillant pratiquement toutes les cinq minutes.
Exclusivité et tentatives de "sabotage" des solutions de sécurité
Une autre technique fréquente est le sabotage des programmes de sécurité, afin d'empêcher la détection des logiciels malveillants, et prolonger d'autant plus leur survie. Le sabotage malveillant passe souvent par l'interruption des processus de sécurité, la suppression de code ou la modification du fichier Hosts de Windows, pour éviter la mise à jour du logiciel antivirus.
Par ailleurs, les logiciels malveillants se chargent souvent de supprimer toute installation existante d'une autre code malveillant, non pas dans d'intérêt de l'utilisateur, mais pour s'assurer la "propriété" et le contrôle de la machine de la victime, exclusivement à leur profit. Cette concurrence active souligne, si besoin est, la richesse des possibilités dont disposent les auteurs de logiciels malveillants, et leurs commanditaires.
Le facteur humain, maillon le plus faible
Le degré d'efficacité des systèmes de sécurité se mesure, en dernière instance, d'après le maillon le plus faible. Or, du point de vue de la sécurité en ligne, le maillon faible est toujours le facteur humain. C'est pourquoi les techniques d'ingénierie sociale sont désormais devenues un ingrédient déterminant des procédures de distribution de codes malveillants. Il s'agit de techniques aussi simples que l'envoi de liens apparemment recommandés par des amis, transmis dans des courriers ou par messagerie instantanée (IM). Ces liens sont élaborés de telle façon qu'ils semblent renvoyer à des ressources intéressantes, alors qu'en réalité, il s'agit de ressources Web infectées.
Aujourd'hui, les messages électroniques peuvent véhiculer des scripts capables de se connecter à des sites Web infectés sans aucune intervention de l'utilisateur. Même une personne hautement familiarisée et prudente, qui ne répond jamais aux hyperliens non sollicités, risquerait une infection par ce type de téléchargement "téléconduit".
La mention d'événements de la vie courante dans des campagnes de ce genre augmente à une vitesse alarmante, et obtient des résultats d'une efficacité étonnante. Les fraudes par hameçonnage ("phishing") restent la source principale des infections, malgré tous les efforts que font les banques et autres sociétés de transactions financières en ligne pour les contrer. Il reste encore un trop grand nombre de victimes naïves, susceptibles de se laisser convaincre par des offres intéressantes, ou tromper par des communications apparemment officielles.
Réflexions personnelles pour conclure
Pour gérer la cybercriminalité, nous devons développer et mettre en oeuvre un certain nombre de stratégies de protection. Naturellement, les logiciels de sécurité et les stratégies de gestion des risques restent essentiels à tous les niveaux pour lutter contre les programmes malveillants.
Cependant, comme je l'ai affirmé précédemment et comme je continue de le croire, ces stratégies de protection adéquates doivent être accompagnées par un effort de toute la communauté, si nous voulons réussir dans notre combat contre la cybercriminalité. Il faut mettre en place un Interpol pour Internet et lancer des campagnes de sensibilisation des consommateurs, sur le modèle des campagnes destinées à favoriser l'usage de la ceinture de sécurité au volant. Des dispositions légales doivent être prises pour exiger des utilisateurs en ligne un comportement sécurisé et respectueux de la légalité, et ces dispositions doivent s'accompagner de mesures légales encourageant ce type d'efforts. Comme pour la ceinture de sécurité, un effort d'éducation à long terme est nécessaire pour que de telles mesures aient de l'effet.
Certes, je ne crois pas à l'abolition de la cybercriminalité, pas plus qu'à la disparition du crime dans le monde réel, mais j'ai la conviction que nous pouvons contribuer à faire d'Internet un endroit plus sûr. Pour mettre en oeuvre un tel projet, il faut bien plus que les dispositions ici mentionnées, que la participation d'une seule entreprise ou que l'engagement d'un seul gouvernement. Ce dont nous avons besoin, c'est d'une communauté formée par des individus capables d'apporter leur valeur ajoutée et leur propre culture à la sécurité en ligne...
Une telle communauté est déjà capable de vaincre la cybercriminalité, et elle y parviendra le plus souvent. Dans le futur, faire en sorte qu'elle puisse y parvenir le plus souvent est déjà, en soi, un objectif prioritaire.