01net. : L’année 2008 a-t-elle été marquée par des nouveautés en matière de cybercriminalité ?
Laurence Ifrah : On a vu se développer des infections de sites Web légitimes [et non pas de faux sites piégés, NDLR]. C’est très difficile de se rendre compte d’une infection de ce genre en tant
qu’utilisateur. Les antivirus ne les reconnaissent pas, les filtres en entreprises ne les reconnaissent pas…
La force de ces attaques, c’est qu’au lieu d’infecter des milliers de personnes par e-mail on va infecter quelques pages d’un site avec un script malveillant. Et derrière, les milliers de personnes qui se connectent seront touchées.
Google et BusinessWeek ont été concernés. On estime que 75 % des sites corrompus sont des sites légitimes. C’est nouveau et très difficile à gérer.Dans un article, que vous avez publié récemment dans Les Cahiers de la sécurité (1), vous évoquez les attaques basées sur la politique. De quoi s’agit-il exactement ?
La politique, c’est aussi nouveau. La première attaque de ce genre exploitait l’assassinat de Benazir Bhutto [Premier ministre du Pakistan tuée au mois de décembre 2007, NDLR]. Vingt-quatre heures après l’attentat, un
message circulait promettant une vidéo de l’assassinat. Il demandait simplement de télécharger un plug-in pour le voir. Evidemment, il n’y avait pas de vidéo, et vous étiez infecté par un virus.
Aujourd’hui, ce genre de choses se fait dans les deux heures après un événement. Comme après l’élection de Barack Obama, où un message proposait une vidéo de la première réunion des membres du futur gouvernement des Etats-Unis.Le Web 2.0 serait aussi un terrain de prédilection pour les escrocs ?
L’utilisation du Web 2.0, c’est l’attaque suprême, ce que l’on fait de mieux tellement c’est imparable. Car on ne peut plus se passer de ces applications. Quand on veut une information, on va tout chercher sur le Web, sur ces sites
dynamiques alimentés par les internautes eux-mêmes. Mais au fond, on ne sait pas qui a écrit, ni ce que l’auteur a mis comme code, on n’y prête pas attention.C’est aussi le problème du peer to peer où, au fond, on ne sait pas trop sur quel type de fichiers on tombe.
L’usage malveillante du peer to peer est apparue en 2007 avec
Storm, le premier botnet [réseau de machines infectées, NDLR], d’origine russe, qui s’appuyait sur un réseau P2P
décentralisé. C’est un concept grandiose : toutes les machines infectées jouent à la fois le rôle de client et de serveur. Il n’est pas possible de localiser le poste de commande principal du botnet et, donc, de le neutraliser. Quand on coupe
un poste, un autre prend le relais.Quel est l’enjeu pour les criminels ?
Récupérer des informations bancaires et des données sur l’identité des utilisateurs pour ensuite fabriquer de faux papiers. Si on vous vole votre carte bancaire, cela va vous prendre quinze secondes pour la faire bloquer. En revanche,
votre identité, vous ne pouvez pas la bloquer. C’est même à vous de prouver que votre identité a été usurpée, que quelqu’un d’autre, avec votre nom, se sert de votre compte bancaire.Vous écrivez qu’1 million de malwares seront en circulation en 2008. La tendance va-t-elle se poursuivre avec la même ampleur ?
Je pense qu’en 2009 ce chiffre atteindra les 2 millions. Car on n’arrive presque jamais à attraper les coupables. Il existe une telle impunité pour les auteurs, le risque, y compris physique (à l’inverse d’une attaque à main armée,
par exemple) est tellement nul, et les possibilités de revenus tellement énormes, qu’il n’y a aucune raison que cela s’arrête.Quelles sont, justement, ces possibilités de revenus ?
Vous avez deux catégories. D’abord, la petite escroquerie, mais qui rapporte énormément. En septembre, en Roumanie, est apparu un faux site Internet de vente de tracteurs d’occasion. C’est une niche, avec une vraie base de clients, qui ont
un vrai besoin, mais où le contrôle est faible, et les victimes peu averties des dangers. Or, le prix d’un tracteur d’occasion peut aller jusqu’à 15 000 euros.
Je me suis connectée au site : il fait six pages, il est entièrement rédigé en français (car à peu près tous les Roumains parlent français) mais c’est censé être un site anglais. Déjà, un site anglais tout en français, ça n’existe
pas ! Ensuite, les frais de livraison étaient gratuits pour toute l’Europe. On n’a jamais vu ça non plus. C’est donc une escroquerie complètement nulle.
Pourtant, les gens derrière le site ont gagné plus de 100 000 euros en moins de trois mois. Pour un investissement maximal de 50 euros, pour le nom de domaine. La petite cyberescroquerie, c’est ça, et elle représentait
293 millions de dollars en 2007. Ensuite, vous avez la grosse fraude, structurée comme des entreprises, qui représente 1,5 milliard de dollars et où certaines arnaques peuvent connaître un gain de 500 % d’une année sur
l’autre.Ce n’est pas très engageant tout cela…
Non. Jusqu’en 2003, on pouvait acheter des objets de valeur sur eBay sans que cela ne pose de problème. Aujourd’hui, cela ne me viendrait même pas à l’idée d’aller sur eBay pour ça. Et c’est terrible de se dire ça, d’en être arrivé là.
(1) Les Cahiers de la sécurité n?’ 6, octobre-décembre 2008, publiés par l’Institut national des hautes études de sécurité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.