Helsinki, en Finlande. Ses nuits jamais vraiment noires, sa viande de renne aux airelles, Linux, et Miko Hypponen. C'est au siège de l'éditeur F-Secure que nous avons rencontré le gourou de l'antivirus finlandais. Aux côtés d'Eugene Kaspersky (Kaspersky Labs) ou de Graham Cluley (Sophos), Miko Hypponen fait partie de ces quelques figures historiques du petit monde de l'antivirus. Le rencontrer permet de faire le point sur la menace virale aujourd'hui. Premier constat, et ce n'est guère une surprise : le vol de données personnelles fait partie des meubles : "C'est devenu une fonctionnalité standard dans tous les codes malicieux que nous recevons aujourd'hui. Quoi qu'il fasse ensuite, le virus commence par explorer tous les fichiers, fouiller tout le disque dur, afin de récupérer notamment les adresses e-mails et les numéros de sécurité sociale américains qu'il peut trouver".
De nouvelles activités criminelles
Mais là où l'on s'attendrait à ce que le pillage se limite aux données généralement perçues comme confidentielles (les numéros de carte bancaires par exemple), les criminels semblent avoir étendu le spectre de leurs activités à des informations moins évidentes. "Nous découvrons chaque mois des centaines de nouveaux chevaux de Troie destinés à voler les identifiants de jeux en ligne, essentiellement World of Warcraft ou Lineage", poursuit Miko Hypponen. La pratique n'est certes pas récente mais le volume des codes malicieux spécialisés dans le vol d'identifiants de jeu en ligne est désormais quasi-industriel. Les nombreux joueurs à s'être fait dépouiller leur personnage comprennent ainsi mieux comment cela a pu leur arriver.
Plus original en revanche, le poker en ligne fait son apparition parmi les cibles favorites des pirates. F-Secure note ainsi l'arrivée de chevaux de Troie destinés à dérober spécifiquement les identifiants des comptes de poker en ligne. "Le pirate se connecte ensuite à la place du joueur. Il entame une partie contre lui-même via un autre compte qu'il a créé. Bien sûr il joue très mal avec le compte de sa victime, et il la plume donc rapidement. Il lui suffit ensuite de solder l'autre compte et le tour est joué", détaille Miko Hypponen. Et bien entendu, lorsque la victime viendra se plaindre, tout ce que le site de jeu en ligne verra c'est qu'elle a joué contre un adversaire et qu'elle a perdu. Imparable.
L'émergence du phishing 2.0
Si le phishing est désormais une pratique bien connue, Miko Hypponen en voit apparaître une variante beaucoup plus sournoise basée sur le principe de l'Homme du Milieu (Man-in-the-middle). "Lorsque l'utilisateur arrive sur la fausse page d'accueil de sa banque et entre son identifiant et son mot de passe, le site de phishing les utilise d'abord pour se connecter à sa place sur le vrai site de la banque. Cela lui permet d'extraire des informations personnelles du code HTML de la page, telles que le vrai nom de l'utilisateur, les derniers chiffres du numéro de sa carte bleue, etc. Grâce à ces informations, le serveur pirate construit alors une fausse page de confirmation. Cette dernière demande par exemple de compléter le numéro de carte bancaire et d'y ajouter le code PIN, l'adresse, la date de naissance, etc. Puisque l'utilisateur voit s'afficher son vrai nom et de vraies informations, il n'aura aucun doute sur la véracité de la page", met en garde Miko Hypponen. Selon F-Secure, cette technique est mise en oeuvre relativement facilement à l'aide d'un simple kit de phishing disponible en ligne.
Quelle que soit la méthode de vol des identifiants bancaires, le détournement des fonds suit généralement peu de temps après. Selon F-Secure, les systèmes mis en oeuvre par les pirates n'ont rien à envier aux plates-formes professionnelles, au point que certains préviennent leur auteur par SMS dès que l'argent est prêt à être transféré. Et lorsque les comptes ne sont pas pillés, ils sont revendus, probablement par des pirates qui ne veulent pas avoir à gérer eux-mêmes le blanchiment de l'argent volé. "Actuellement, un lot de trois comptes bancaires avec plusieurs milliers de dollars dessus et avec l'option de transfert de fonds activée se négocie environ 500 dollars", révèle Miko Hypponen.
Le défaitisme guette
Que faire face aux réseaux très bien organisés de vol de données, de détournement de fonds, de blanchiment d'argent ou de racket en ligne ? La majorité de cette "industrie" est aujourd'hui bâtie sur le PC de Monsieur-Tout-Le-Monde, détourné à son insu et assemblés en un "réseau de bots" (ou botnet). La chose n'est pas nouvelle et cela fait un moment déjà que l'industrie cherche à contrer la prolifération de ces botnets. A l'origine de ces PC détournés se trouvent souvent des utilisateurs mal informés et ayant peu de connaissances techniques, qui sont infectés en quelques minutes parce que leur navigateur n'est pas à jour de ses correctifs de sécurité, ou parce qu'ils n'hésitent pas à cliquer n'importe où et sur n'importe quoi.
Face à cette population d'internautes, l'éducation demeure la solution la plus politiquement correcte. Mais Miko Hypponen dit tout haut ce que l'industrie pense probablement tout bas : "L'éducation ne fonctionne pas. C'est une perte de temps. Il y aura toujours des utilisateurs prêts à cliquer sur n'importe quoi, ou à acheter les marchandises offertes dans les spams. Et cela suffit à entretenir le business des pirates", conclut-il. Et il semble que l'actualité lui donne, hélas, plutôt raison...
Lire aussi :
Malware : gare au web !
Un quart d'internet aux mains des pirates
Sécurité : la France entre dans le top 3 du phishing