On entend beaucoup parler de cybercriminalité, mais qu'est ce que c'est ? Pour répondre simplement : c'est compliqué ! Comme la criminalité traditionnelle, la cybercriminalité peut prendre diverses formes et peut se produire à tout moment et n'importe où. Qu'est-ce que la cybercriminalité ? La cybercriminalité est une notion large qui regroupe «toutes les infractions pénales susceptibles de se commettre sur ou au moyen d'un système informatique généralement connecté à un réseau». Il s'agit donc d'une nouvelle forme de criminalité et de délinquance qui se distingue des formes traditionnelles en ce qu'elle se situe dans un espace virtuel, le «cyberespace». Depuis quelques années la démocratisation de l'accès à l'informatique et la globalisation des réseaux ont été des facteurs de développement du cybercrime. On peut alors aujourd'hui regrouper la cybercriminalité en trois types d'infractions : Les infractions spécifiques aux technologies de l'information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements non autorisés de données personnelles (comme la cession illicite des informations personnelles), les infractions aux cartes bancaires, les chiffrements non autorisés ou non déclarés ou encore les interceptions. Les infractions liées aux technologies de l'information et de la communication : cette catégorie regroupe la pédopornographie, l'incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens. Les infractions facilitées par les technologies de l'information et de la communication, que sont les escroqueries en ligne, le blanchiment d'argent, la contrefaçon ou toute autre violation de propriété intellectuelle. Les cybercriminels utilisent un certain nombre de méthodes, en fonction de leurs compétences et de leurs objectifs. Cela n'a rien de surprenant : après tout, la cybercriminalité est un type de criminalité, perpétrée à l'aide d'un ordinateur ou dans le cyberespace. La convention sur la cybercriminalité du Conseil de l'Europe utilise le terme «cybercriminalité» pour faire référence aux délits allant de toute activité criminelle portant atteinte aux données, au non-respect des droits d'auteur [Krone, 2005]. Toutefois, d'autres auteurs [Zeviar-Geese, 1997-98] suggèrent que la définition de cette notion est beaucoup plus vaste et comprend des activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie, et le harcèlement dans le cyberespace. Le manuel des Nations unies sur la prévention et la répression de la criminalité liée à l'informatique inclut la fraude, la contrefaçon et l'accès non autorisé [Nations unies, 1995] dans sa définition de la cybercriminalité. Ces définitions donnent une bonne indication de la variété d'attaques que la cybercriminalité peut englober. Il est important de comprendre l'étendue de ces attaques car divers types de cybercriminalité requièrent des approches différentes afin d'améliorer la sécurité de votre ordinateur. Symantec s'inspire des nombreuses définitions de la cybercriminalité et donne la définition concise suivante : tout acte criminel perpétré à l'aide d'un ordinateur ou sur un réseau, ou à l'aide de matériel informatique. L'ordinateur ou le matériel peuvent être l'agent de l'acte criminel, son facilitateur, ou sa cible. L'acte criminel peut se produire sur l'ordinateur uniquement ou à d'autres emplacements également. L'étendue de la cybercriminalité est davantage compréhensible si on la divise en deux catégories générales, nommées dans le cadre de cette étude cybercriminalité de type I et de type II. La cybercriminalité de type I présente les caractéristiques suivantes : Il s'agit généralement d'un événement ponctuel du point de vue de la victime. Par exemple, une victime télécharge sans le savoir un cheval de Troie qui installe un programme d'enregistrement des frappes clavier sur sa machine. Il est possible également que la victime reçoive un courrier électronique contenant un lien prétendu légitime alors qu'il s'agit en réalité d'un lien vers un site Web hostile. Il est généralement fourni par des logiciels criminels tels que les programmes d'enregistrement de frappes clavier, les virus, les rootkits ou les chevaux de Troie. Les failles ou les vulnérabilités d'un logiciel ouvrent généralement la porte à l'attaquant. Par exemple, des criminels contrôlant un site Web pourraient profiter d'une vulnérabilité d'un navigateur Web pour placer un cheval de Troie sur l'ordinateur de la victime. Voici des exemples de ce type de cybercriminalité (cette liste n'est pas exhaustive) : phishing, vol ou manipulation de données ou de services par piratage ou par le biais de virus, usurpation d'identité, fraude bancaire et du commerce électronique. Quant à la cybercriminalité de type II, elle comprend (entre autres activités) : le harcèlement sur Internet, la prédation contre les enfants, l'extorsion de fonds, le chantage, la manipulation des marchés boursiers, l'espionnage industriel de haut niveau, ainsi que la planification ou l'exécution d'activités terroristes. La cybercriminalité de type II présente les caractéristiques suivantes : Il s'agit généralement d'une série continue d'événements impliquant des interactions répétées avec la cible. Par exemple, la cible est contactée par une personne dans un forum de discussion. Petit à petit, cette personne tente d'établir une relation avec la cible. Le criminel finit par exploiter cette relation dans le but de perpétrer un acte criminel. Des membres d'une cellule terroriste ou d'une organisation criminelle pourraient également communiquer sur un forum de discussion de façon codée et, par exemple, planifier des activités ou débattre du blanchiment de leur argent. Ce type de cybercriminalité est généralement rendu possible par des programmes qui ne font pas partie de la catégorie des logiciels criminels. Par exemple, les conversations pourraient avoir lieu par le biais de clients de messagerie instantanée ou des fichiers pourraient être transférés via FTP. Les logiciels criminels, qu'est ce que c'est ? Désignent parfois les outils logiciels utilisés dans le cybercrime. Les logiciels criminels sont utilisés afin de perpétrer un acte criminel ne sont généralement pas considérés comme des applications logicielles ou matérielles souhaitables ne sont pas à vocation criminelle involontairement. Tout comme la notion de cybercriminalité, le terme logiciels criminels regroupe divers logiciels malveillants, ou potentiellement malveillants. Cependant, il est important de garder à l'esprit que tous les logiciels utilisés afin de perpétrer un crime informatique ne peuvent pas être définis comme des logiciels criminels. Par exemple, un client de messagerie instantanée peut être utilisé afin de perpétrer un acte de cybercriminalité¹, mais l'application de messagerie instantanée elle-même n'est pas considérée comme un logiciel criminel. Les clients FTP peuvent être utilisés pour commettre des crimes²; alors qu'ils ne sont pas considérés comme des logiciels criminels. Cependant, les logiciels criminels incluent tout programme entrant dans la catégorie des bots, des programmes d'enregistrement des frappes clavier, des logiciels espions, des portes dérobées et des chevaux de Troie.
Fraude en ligne Qu'est-ce que le phishing? Le phishing est principalement une escroquerie en ligne, et les phishers ne sont rien d'autre que des escrocs calés en informatique et des usurpateurs d'identité. Ils ont recours au spam, à des sites Internet factices, à des logiciels criminels et à d'autres techniques pour tromper les gens et les inciter à dévoiler des informations confidentielles, tels que leurs numéros de comptes bancaires et de cartes de crédit. Dès qu'ils ont récupéré suffisamment d'informations sur leurs victimes, ils peuvent soit utiliser les biens dérobés pour escroquer les victimes (en ouvrant par exemple de nouveaux comptes sous le nom de la victime ou en vidant ses comptes bancaires) ou ils peuvent vendre ces informations sur le marché noir pour faire des bénéfices.
Comment fonctionne le phishing ? Dans la plupart des cas, les phishers envoient une vague de courriers indésirables, parfois des millions de messages. Chaque courrier électronique contient un message qui semble provenir d'une société connue et de confiance. En règle générale, le message contient le logo de la société ainsi que son nom, et il essaie souvent de provoquer une réaction affective face à une prétendue crise. Le message est rédigé dans un langage commercial et se veut alarmant. Il demande souvent des informations personnelles de la part de l'utilisateur. Parfois, le courrier électronique envoie le destinataire sur un site Web qui a été usurpé. Le site Web, tout comme le courrier, semble authentique et dans certains cas l'adresse URL est masquée de telle sorte qu'elle semble correcte. Le faux site Web invite le visiteur à fournir des informations confidentielles, comme par exemple son numéro de sécurité sociale, de compte bancaire, ses mots de passe, etc. Etant donné que le courrier électronique et le site Web correspondant paraissent légitimes, le phisher espère qu'au moins une partie des destinataires se laissera usurper et fournira ces informations confidentielles. Il est impossible de connaître le taux exact de réaction des victimes aux attaques de phishing mais on estime généralement qu'entre 1 et 10% des destinataires sont dupés par les campagnes «réussies» de phishing avec un taux de réponse d'environ 5%. Pour mettre les choses en perspective, les campagnes de spam ont généralement un taux de réponse inférieur à 1%. Au cours de l'année 2005, les attaques de phishing sont devenues beaucoup plus sophistiquées. Elles ont commencé à utiliser les logiciels criminels avec des sites Web factices et hostiles, en faisant usage des vulnérabilités courantes des navigateurs Web et d'infecter les machines de leurs victimes. Cette évolution signifie qu'en cliquant simplement sur un lien proposé dans un courrier électronique de phishing, invitant le destinataire à se rendre sur un site Web factice, l'identité d'un utilisateur pourrait être dérobée car le phisher n'aurait plus besoin que la victime saisisse ses informations personnelles. Le cheval de Troie ou le logiciel espion installé sur la machine captureraient ces informations lorsque la victime se rendrait sur le site Web légitime de sa banque ou de tout autre service en ligne. Tout au long de l'année dernière, ces logiciels criminels sont devenus de plus précis (seules les informations requises par le phisher sont recueillies) et plus silencieux, grâce à des rootkits et d'autres techniques clandestines agressives qui leur permettent de rester cachés sur une machine infectée. Un autre exemple de l'habileté croissante des groupes de phishing, est leur capacité d'utilisation des failles dans la conception d'un site Web afin de rendre leurs attaques plus convaincantes. Par exemple, une faille sur le site Web de l'IRS a permis aux phishers de faire croire que les adresses URL utilisées comme «appât» étaient celles du site Web de l'IRS, alors que la victime était dirigée vers un autre serveur Web appartenant aux criminels. Il s'agit là d'un exemple parmi bien d'autres illustrant les avancées techniques des cyberescrocs.
Exemple de phishing Symantec exploite un groupe de machines connues sous le nom de «pots à miel» : un réseau de systèmes intentionnellement vulnérables qui sont utilisés pour capturer et étudier des attaques réelles. Ces informations sont alors utilisées à des fins de recherche et d'amélioration des produits Symantec. Symantec a récemment capturé une attaque de phishing typique dans son réseau de capteurs, qui ciblait le service de vente aux enchères en ligne eBay. La grande popularité d'eBay et son attrait universel en font l'une des marques sur Internet les plus visées par les attaques de phishing.
Qu'est-ce que le pharming ? Le pharming est un autre type de fraude en ligne, similaire au phishing. Les pharmers comptent sur les mêmes sites Web factices et le vol d'informations confidentielles afin de mener à bien leurs arnaques en ligne, mais il est plus difficile de les détecter car ils ne dépendent pas de si la victime est «appâtée» par un message. Au lieu de compter entièrement sur les utilisateurs cliquant sur un lien séduisant dans un faux courrier électronique, le pharming consiste à rediriger les victimes vers un faux site Web même si elles ont tapé l'adresse Web correcte de leur banque ou d'un autre service en ligne dans leur navigateur Web. Les pharmers redirigent leurs victimes en utilisant divers stratagèmes. La première méthode, celle qui a donné son nom au pharming, est une vieille attaque connue sous le nom «DNS cache poisoning». L'attaque de type «DNS cache poisoning» est une attaque du système de noms sur Internet, lequel permet aux utilisateurs de saisir des noms significatifs pour des sites Web (www.mabanque.fr) au lieu d'une série de chiffres difficiles à retenir (192.168.1.1). Le système des noms repose sur des serveurs DNS pour gérer la conversion des noms des sites Web basés sur des lettres, qui sont facilement mémorisables par les visiteurs, en des chiffres compréhensibles par les machines qui dirigent les visiteurs vers le site Web de leur choix. Lorsqu'un pharmer monte une attaque réussie de type DNS cache poisoning, celle-ci change véritablement les règles du flux du trafic pour toute une section d'Internet !Le routage de nombreuses victimes confiantes vers une série de sites Web factices et hostiles et l'impact généralisé potentiel qui en résulterait a donné son nom à ces cyberescrocs. Les phishers lancent quelques lignes à l'eau et attendent de voir qui mord à l'hameçon. Les pharmers sont plutôt des cybercriminels qui font la moisson sur Internet, à un niveau encore inégalé.
Exemple de pharming L'une des premières attaques connues de pharming a été menée en début d'année 2005. Au lieu de profiter d'une faille dans un logiciel, l'attaquant semble avoir dupé le personnel d'un fournisseur d'accès à Internet qui a saisi le transfert d'un emplacement d'un endroit à un autre. Une fois l'adresse d'origine déplacée vers la nouvelle adresse, l'attaquant avait «pris en otage» le site Web d'origine et rendu l'accès au site impossible, mettant la société victime de l'abus dans une situation difficile et affectant ainsi ses affaires. Une attaque de pharming survenue quelques semaines après cet incident a eu des conséquences encore plus sinistres. En exploitant une faille logicielle, des pharmers ont entrepris d'échanger des centaines de noms de domaines légitimes contre des sites Web factices et hostiles. Trois vagues d'attaques se sont succédées, deux d'entre elles consistant à essayer de télécharger des logiciels espions et des logiciels publicitaires sur les machines des victimes, la troisième essayant de diriger les utilisateurs vers un site Web vendant des pilules souvent offertes dans des messages indésirables.
