huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie
Tendances de la cybercriminalité
Comme chaque année, le Clusif (le club pour la sécurité informatique) vient de livrer son rapport annuel sur le cybercrime. Et comme chaque fois ce panorama révèle de nouvelles tendances à la fois technologiques (le crime s’adapte à des facteurs nouveaux comme le développement de réseaux sociaux sur le Web 2.0) et stratégiques. Ou plus exactement, il montre comment le crime organisé s’investit davantage dans le secteur des attaques informatiques, tandis que les cyberattaques et la cyberguerre restent à l'ordre du jour..



Ainsi, les réseaux sociaux de type Facebook peuvent tout à la fois servir de vecteur à de nouveaux logiciels malveillants, faciliter des escroqueries, mais surtout ce sont des mines d’information sur les individus (y compris des informations ineffaçables dont des gens qui sont les premiers à hurler contre «Big Brother» et le viol de leur intimité regretteront peut-être la publication des années plus tard). Et ce sont aussi de remarquables tribunes pour la rumeur, la calomnie et autres attaques contre la réputation d’un individu ou d’une entreprise. (conjugués par exemple à une utilisation offensive de Wikipedia et de Youtube).

Le matériel aussi est attaqué : puces RFID, cartes de type Navigo..., tandis que les fuites d’informations sensibles (militaires, d’entreprise...) par les blogs prolifèrent.

Bref la criminalité informatique change et innove chaque année, et , comme dans la mode, il y a des «tendances» chaque année : tantôt le vol d’identité, tantôt les attaques par déni d’accès...



Cette publication intervient dans un contexte où les fragilités d’Internet ou les risques de dysfonctionnement apparaissent encore plus visibles. Le bug de Google qui a aboutit à classer «accès dangereux» une part majoritaire du Web, ou la révélation d’une «mégafaille » dans le système des Serveurs de Noms (Domain Name Servers) qui toucherait encore un million de serveurs. Tandis que circulent des chiffres en milliards d’euros sur les pertes que provoquerait la délinquance informatique et que le FBI parle de «cybergeddon » (un Armageddon provoqué par une cyberattaque, qui paralyserait les États-Unis et dont l’impact serait encore pire que celui du 11 Septembre).



Au fait, qu’est- ce que le cybercrime? Outre que le terme est emphatique (il serait plus exact de parler de cyberdélinquance pour des attaques informatiques ou comportements illégaux qui ne se finissent pas forcément devant une cours d’assises), la notion recouvre tant de manières de nuire à son prochain que sa cohérence n’est pas toujours aveuglante.



Et la multiplication des anglicismes et néologismes (botnet, social engineering, stalking, bullying, malware, désimlockage.) ne facilite pas la clarté.



On peut utiliser un ordinateur illégalement pour :



Répandre des contenus illicites (images pédophiles ou propos révisionnistes, par exemple). Ce qui se nécessitait autrefois des supports matériels comme des images pornographiques sur papier peut désormais se diffuser anonymement. Ou du moins avec une très faible probabilité d’être pris, si l’on a l’intelligence de «s’anonymiser» par de bons serveurs ou de se faire héberger dans un pays dont il n’y a pas à craindre la législation. De plus, la capacité de diffusion sur le net est théoriquement illimitée

Voler une propriété intellectuelle. Par exemple, en profitant là encore de la dématérialisation du support, reproduire illégalement de la musique.

Frauder : accéder gratuitement à des services payants, imiter des documents

Espionner : prendre connaissance de données confidentielles, théoriquement protégées par un interdit ou par un système de type mot de passe ou amener par une mise en scène numérique (faux site, p.e.) la victime a révéler des données confidentielles

S’en prendre aux fonctionnalités d’un système ou d’une machine (y compris un smart phone) soit pour le dégrader (altérer ou falsifier ses données ou ses logiciels, le rendre indisponible par déni d’accès...), soit pour en prendre le contrôle. C’est ce que font notamment ceux qui s’emparent de «botnets», infectent des des armées d’ordinateurs zombies pour leur faire exécuter des tâches à l’insu de leur propriétaire..

Exploiter les facilités qu’offre Internet pour réaliser des escroqueries ou d’autres délits (chantage ou autre) qu’il serait plus difficile, risqué ou coûteux de réaliser sans..

et la liste n’est sans doute pas close.



Le degré de gravité des attaques est très variable (d’un simple spam qui agace une seconde à la paralysie d’un système de santé), mais leur logique ne l’est pas moins :



Certaines s’en prennent à des choses (rendre une machine inopérante, s’attaquer à des cartes de transport, à des réseaux de circulation des données), d’autres à l’information même (reproduire des données ou altérer des algorithmes), d’autres directement à des gens (qui croiront des choses fausses ou seront trompés sur leur interlocuteur et sur la source d’une information, qui subiront des chocs psychologiques, qui verront leur intimité violée), même si, au final, ce sont toujours des êtres humains qui seront appauvris, humiliés, qui subiront un dommage...



On pourrait également considérer les attaque informatiques comme informationnelles (en ce sens que c’est le contenu d’un message ou d’une archive qu’elles visent), communicationnelles (si elles empêchent le fonctionnement normal d’un système de messagerie, d’archive ou de commandement à distance) et enfin psychologiques (dans la mesure où elles visent d’abord à susciter une émotion ou une conviction, généralement fausse, chez leur victime).



Ajoutons enfin que le cybercrime est toujours aux frontières du vol au sens large (quelqu’un est dépouillé d’argent ou d’un droit ou d’un savoir qui ont une valeur pécuniaire), de l’espionnage (vol de données confidentielles) et du sabotage (paralyser une organisation, créer du chaos). Mais l’aspect humain, par exemple le dommage que subit celui dont l’intimité est étalée partout ou la perturbation de la victime d’une e-rumeur ou d’un vol d’identité, n’est pas moins crucial.



Ajoutons enfin que toute cyberattaque (à fin criminelle intéressée, terroriste, guerrière...) présente nécessairement des caractéristiques qui la rendent difficile à analyser :



l’escalade attaque/défense (épée plus forte contre armure plus résistante) évolue tous les jours. Dès qu’une forme d’attaque (un nouveau «vers» ou une nouvelle façon d’implanter un cheval de Troie) est connu, la riposte est instantanée : il y a toute une industrie de la sécurité informatique qui en vit. Mais dès qu’une faille est repérée ou dès qu’une nouvelle façon de nuire à ses contemporains par écran interposé est révélée, elles peuvent être partout imitées.

Il est toujours difficile d’attribuer une attaque à son légitime responsable : il peut s’être anonymisé, employer des relais, avoir loué les services d’organisations ou d’individus mercenaires..

Il est difficile d’en mesure l’impact réel. Entre les déclarations alarmistes des spécialistes de la sécurité qui ont intérêt à nourrir les pires craintes et la sous-évaluation par les victimes qui cherchent souvent à cacher leur faiblesse pour ne pas paniquer des actionnaires, par exemple, comment savoir quelle source croire ?

Il n’est pas toujours facile de comprendre le but d’une attaque : profit, recherche de l’exploit pur, volonté de nuire à une entreprise, raisons politiques ou idéologiques ?

Surtout, il n’est pas aisé d’y répliquer. Certes, il existe des lois et des services de police pour arrêter les délinquants. Mais comme dissuader d’attaquer et comment répliquer en se dotant soi-même de capacité offensives ? C’est une question politique dans le cadre de la cyberguerre, mais c’est aussi une question stratégique pour une entreprise.



Bref, les réponses au cybercrime ne sont pas que techniques : elles sont politiques et stratégiques. Ce n’est pas une surprise, mais il est bon de le rappeler.























 Imprimer cette page