ACTUALITES

L'édition 2005 du Panorama de la Cybercriminalité du Clusif est un bon cru. Comme à son habitude, l'association base ses observations sur des affaires rendues publiques durant l'année écoulée. Mais l'exercice pourrait tout aussi bien servir à identifier quelques tendances fortes pour l'année à venir. Premier constat : l'expansion de l'économie souterraine. On savait bien sûr déjà que les bas-fonds du web se professionnalisaient (le Clusif le notait dans son panorama 2002 et le confirmait dans celui de 2003). Mais aujourd'hui, le "marché" semble mûr : l'installation forcée de logiciels publicitaires (adware), les réseaux d'ordinateurs zombies en location et le business des spammeurs sont des pratiques bien installées dans le paysage. Le Clusif donne une idée des tarifs en vigueur dans ce milieu : de 0,05 à 0,50 dollar par installation d'un adware sur le PC d'un internaute. Dans le cadre d'une affaire citée par l'association, plusieurs individus accusés d'installer de tels logiciels sans la permission des utilisateurs ont reconnu avoir gagné en moyenne 22 000 dollars en un mois (et tout ceci n'est pas grand-chose, comparé au trésor de guerre régulièrement saisi chez certains spammeurs).

Espionnage industriel, vol de données et violence réelle

Ces adwares sont généralement installés à l'insu des internautes à l'aide de failles de sécurité ou au moment de l'installation d'un logiciel gratuit. Mais ils ne sont plus les seuls à débarquer sur les PC sans y être invités : les escrocs privilégient désormais le déploiement de bots, beaucoup plus rentables. Ces outils de prise de contrôle permettent d'assembler une armée de PC zombies exploitables à loisir à l'insu de leurs propriétaires. Là encore, le Clusif cite quelques affaires révélées l'an dernier, notamment la découverte de réseaux composés de quelques milliers à quelques dizaines de milliers de PC, voire peut-être un million et demi pour l'un d'eux. De tels réseaux sont généralement loués (pour envoyer du spam, par exemple), servent à installer des adwares de manière industrielle ou encore à mener des attaques par déni de service contre des sites web, après rançon.

Autre point notable que relève le Clusif : la recrudescence, dans l'actualité, d'affaires d'espionnage industriel. L'association précise bien que la pratique n'a rien de nouveau, mais 2005 aura permis de découvrir plusieurs affaires importantes dans le domaine. Qu'il s'agisse du vol de code source (Ericsson), de données (l'affaire Valeo, dont l'instruction est en cours) ou d'infiltration à la "Mission Impossible" (l'affaire de la banque Sumitomo ou celle du cheval de Troie Israélien), les entreprises sont ici visées de manière délibérée, contrairement aux attaques opportunistes habituelles. Le Clusif note aussi que 2005 aura révélé de très nombreuses affaires de vol d'identités (dont bien sûr celle de la société Cardsystems). Conséquence de l'obligation faite aux entreprises américaines de signaler chaque vol, ou simple recrudescence de ces fautes, une chose est certaine en tout cas : la pratique est particulièrement détestable pour les victimes, qui mettent généralement plusieurs années à "laver" leur identité lorsque celle-ci est utilisée pour commettre des délits.

Enfin, pour la première fois, le Clusif s'inquiète des actes de violence physique dont l'origine se trouve dans le monde cyber. L'association cite notamment la pratique du "Happy Slapping" : une agression physique réalisée dans le seul but d'être filmée par un téléphone mobile et diffusée sur le web. Heureusement peu répandue en France, le "baffage sympa" semble plus courant chez les écoliers britanniques. Le Clusif note cependant que seuls quelques cas ont étés recensés en 2005 et que, bien entendu, ce n'est pas tant la technologie qui est en cause que son usage. Bref, le problème se situe, comme souvent, au niveau de l'interface chaise-clavier...

Plus d'informations : Téléchargez le Panorama 2005 de la Cybercriminalité (en français).