Le nouveau visage de la cybercriminalité

L'éditeur McAfee publie une étude paneuropéenne sur le cybercrime organisé. Car le hacker anarchiste a cédé le pas à des criminels motivés d'abord par l'argent. D'où le recours croissant à des réseaux d'ordinateurs infectés à des fins de vol, de racket ou de spam.

Longtemps limitée à des pirates isolés, à la recherche d'exploits et de gloire, la cybercriminalité prend du galon. À l'image du crime organisé dans le monde réel, de nouveaux réseaux virtuels pratiqueraient désormais à grande échelle l'extorsion de fonds, le vol d'informations confidentielles, l'usurpation d'identité, la fraude à la carte de crédit ou le blanchiment d'argent. C'est ce que détaille dans « la première étude paneuropéenne sur le cybercrime organisé », l’éditeur de solutions de sécurité McAfee. Ce rapport met l'accent sur la principale arme à disposition des cybercriminels: le réseau de robots. Le « botnet », selon le terme anglais, est en effet constitué de milliers d’ordinateurs infectés par des chevaux de Troie. Dès qu’ils sont en place, ces programmes malins peuvent être contrôlés à distance par une seule machine. Au total, cette armée de l’ombre compterait « entre 4 et 6 millions d’ordinateurs dans le monde », selon François Paget, secrétaire général du Club de la sécurité des systèmes informatiques français (Clusif). Le plus gros réseau détecté se serait appuyé sur 140.000 machines.

Une fois constitués, les « botnets » peuvent avoir des usages très divers. Dans le cas le plus courant, les ordinateurs servent de relais au spam et au « phishing » pour envoyer massivement des courriels. Dans d’autres cas, les « botnets » sont utilisés pour stocker des fichiers illégaux, notamment de pornographie et de pédo-pornographie. Et ce sans que le possesseur de la machine ne s’en aperçoive. Mais les armées d’ordinateurs peuvent aussi être utilisées dans ce qui ressemble à une version moderne du racket de protection. « Donnez-nous 30.000 dollars, sinon, on vous fait tomber votre site et vous perdez votre business », explique ainsi François Paget. Si le site ne coopère pas, des dizaines de milliers d’ordinateurs provoquent alors sa surcharge en l’assaillant de requêtes (on parle alors d'attaques DDoS ou "déni de service distribué"). Pour le cybercrime, cette pratique est désormais si juteuse que des réseaux de « botnets » sont offerts à la location. Comptez environ 380 euros pour disposer d'une armée de 500 machines. Ou 28.000 euros par mois pour envoyer du spam en toute discrétion. Un investissement "honnête" pour les spammeurs capables de gagner beaucoup plus.

Cette monétisation possible du piratage Internet explique le changement de dimension de la cybercriminalité, fondée désormais sur l’appât du gain. « Les virus et les programmes malveillants sont entrés dans la cour des grands », avertit François Paget. Signe d'une accélération du mouvement, la collection de virus de McAfee a été multipliée par dix en un an. Et chaque jour, l’éditeur dit recenser environ 50 nouvelles menaces, dont 25 à 30 nouveaux robots. « Ces robots sont créés, utilisés puis jetés, et laissent place à d’autres spécimens », explique l’expert. Pour toucher rapidement un maximum d’utilisateurs, les chevaux de Troie sont diffusés principalement par les « newsgroups », les forums de discussion du réseau Usenet. « Dans la nuit du 31 décembre 2004, McAfee a repéré environ 20.000 de ces programmes malveillants disposés sur ces réseaux, attendant d'être aspirés par les visiteurs. A moindre échelle, le spam, l'IRC et le "peer-to-peer" constituent d'autres sources de prolifération. Il y a beaucoup de fichiers infectés, téléchargés par inadvertance sur KaZaA ou Morpheus, qui touchent les utilisateurs à leur domicile. »

Le développement de la cybercriminalité ne s'appuie toutefois pas seulement sur des failles techniques. Il reposerait peut-être d'abord sur l'exploitation de failles humaines, psychologiques. « Quand les internautes donnent sur de faux sites de "phishing" leur code de carte bleue, alors qu’ils ne le communiqueraient jamais au téléphone, c’est de l’inconscience », constate ainsi François Paget. De même, si Windows est effectivement moins sûr que Mac OS X ou Linux, des correctifs de sécurité sont régulièrement publiés. En janvier dernier, la plus forte alerte chez McAfee était liée à une faille de sécurité datant de 2003, qui avait été corrigée par Microsoft dès cette époque. A l’avenir, le tableau pourrait toutefois se noircir, et la protection se compliquer. Si pour l’heure, la cybercriminalité utilise encore d’anciennes méthodes, ses moyens financiers grandissants lui ouvrent la voie du développement de virus plus sophistiqués. Preuve de ce perfectionnement, le laps de temps entre la découverte d'une vulnérabilité et son exploitation est passé de quelques mois il y a deux ans à une journée dernièrement, avec la faille jpeg. « Finalement, une vulnérabilité pourrait être découverte le jour de son exploitation, pour une attaque d'ampleur », craint François Paget. C'est le « day 0 attack ».