Cyberdélinquance, cybercriminalité, darkweb, ANSSI (Agence nationale de la sécurité des systèmes d’information), F.I.C. (Forum International de la Cybersécurité), des termes qui entrent dans le vocabulaire commun pour un sujet qui nous concerne absolument tous, la cybersécurité.

L’article qui suit se veut en conséquence pédagogique et accessible au plus grand nombre car l’enjeu est d’importance : la principale faille de sécurité en informatique se situe entre le clavier et l’écran.

Il s’agit donc de ne pas se rater et de savoir que nombre de ces attaques peuvent être évitées au travers de solutions techniques ou plus simplement encoreen modifiant nos comportements.

Aujourd’hui dans le monde plus 2,480 millions de smartphones sont en fonctionnement, on dénombre 23 milliards d’objets connectés, et 100% des 12-39 ans sont internautesI. Jamais dans l’histoire de l’humanité une technologie n’aura eue une propagation aussi rapide, et aucune technologie aura bouleversé à ce point des pans entiers de l’humanité.

Pour permettre à chacun de bien comprendre où se situent les enjeux la métaphore automobile peut éclairer : la conception du véhicule, la forme de la caisse, le fonctionnement du moteur, le son des portes qu’on ferme ou encore l’électronique embarquée sont du ressort d’ingénieurs, de designers, d’acousticiens… C’est un peu la même chose pour votre smartphone, votre tablette, votre ordinateur, votre bracelet connecté ou encore l’imprimante en réseau sur laquelle vous pouvez imprimer des documents. Derrière tous ces appareils se trouvent toujours ces suites de 0 et de 1 dont chacun a eu au moins une fois connaissance dans sa vie. Le langage natif des systèmes informatiques, agrémenté de quelques règles d’utilisation permettant des opérations logiques, est rendu accessible à tout un chacun grâce à des interfaces ergonomiques et agréables, et nous ne savons rien ou presque de ce qui se passe réellement.

C’est ainsi que les systèmes d’exploitation (Operating System ou encore OS en Anglais) n’ont de cesse de se réinventer, de s’améliorer, afin que l’expérience des utilisateurs soit la plus naturelle possible. Ces systèmes d’exploitation, ou Interfaces Homme Machine, encore appelée I.H.M. , se trouvent dans tous les matériels utilisés par les humains. Le reste du parc des matériels connectés et autonomes voit ces interfaces réduites à des portions congrues, voire inexistantes, le matériel se contentant alors d’un système élémentaire d’entrées et de sorties II ou micrologiciel, appelé aussi firmware, où  sont installées les instructions essentielles pour leur permettre de fonctionner. C’est ici que nous trouvons, pour les ordinateurs,  Windows, OS X ou Linux, pour ne citer que les plus connus, et Android, IOS, Blackberry OS ou Windows Mobile, pour les smartphones.

Aujourd’hui nous utilisons ces matériels au quotidien, nous allons sur internet grâce à nos navigateurs (Edge, Safari, Chrome, etc…), nous utilisons des logiciels ou des applications qui se connectent aussi à internet, comme le font les assistants tels que Alexa (pour Amazon) ou Google Home, et nos télés possèdent elles aussi des navigateurs.

Nous autorisons de même de nombreuses choses à l’application que nous venons d’installer, nous faisons confiance à nos navigateurs pour conserver nos données de carte bancaire, qui sont de la même en mémoire sur des sites où nous achetons en un clic une place de cinéma, notre place de parking ou encore pour commander un Uber ou des Tacos au Tex Mex du coin (et ainsi participer à l’attalisation de l’économie).

Les chiffres de l’e-commerce en France, au travers de l’explosion des achats en ligne depuis 2005, montrent de plus qu’un nombre croissant d’internautes se familiarise avec les achats en ligne. En 2007 près de 37 millions de cyber-acheteurs ont dépensé 81,7 milliards d’EurosIII.

L’achat en ligne, ou la dématérialisation des paiements, est désormais parfaitement ancré dans les mœurs, toutes générations confondues ou presque.

Evolution ventes en ligne – Source https://www.fevad.com/

Corollaire à cette évolution culturelle : la cybercriminalité et la cyberdélinquance explosent. Les fraudes sur les comptes bancaires, par exemple, ont concerné en 2016 plus de 1,2 million de ménages , soit 4,3 % de la population française, près de trois fois plus que ceux ayant subi un cambriolage !

Valérie Maldonado, cheffe adjointe de la sous-direction de la lutte contre la cybercriminalité, interrogée par notre consoeur du Monde Julia Pascual, indiquait qu’il « existe un effet de transfert d’infractions traditionnelles vers cette délinquance dématérialiséeElle permet des bénéfices financiers importants avec des risques physiques et judiciaires moindres que, par exemple, un vol à main armée. »IV 

Et pour cause, les attaques sont relativement faciles à mener. Nous ne nous attarderons pas ici au piratage des connexions Wifi de la maison, sujet maintes fois traité et pour lequel il est possible de renforcer la sécurité au travers de méthodes relativement simplesV, mais nous aborderons quelques cyberattaques qui, si elle nécessite des experts pour être élaborées font appel à des techniques basiques pour réussir à atteindre leur cible.

Si vous avez déjà regardé la série dystopique Black Mirror l’épisode « Tais toi et danse » de la saison 3 illustre parfaitement le propos. Des pirates font chanter des habitants d’une ville après avoir réussi à pirater les caméras ou les micros de leurs ordinateurs ou téléphones portables. Les petites habitudes très personnelles et peu avouables que chacun peut avoir dans son intimité sont ainsi captées pour faire pression sur les individus choisis. Ici bien que de nombreux ordinateurs portables disposent d’une LED qui s’allume systématiquement dès que la webcam est en marche certains hackers développent des programmes qui permettent de la désactiver. Heureusement un bout de scotch sur la webcam ou des cache-webcam élégants made in france sont là pour vous protéger !

Dans une récente affaire une femme arrivée pour le rendez-vous avec le directeur commercial était en fait un pirate. Elle a laissé trainer une clef USB à la cafétéria de l’entreprise visée. Là, même si des consignes précises avaient été données  le réflexe le plus humain de la personne qui est tombée dessus a été de la prendre et de l’insérer dans un port de son ordinateur pour assouvir sa curiosité. Voilà, ce fut fait, le cheval de Troie était dans la place sans que qui que ce soit ai pu voir quoi que ce soit puisque le virus exploitait une faille de sécurité qui n’avait pas encore été identifiée.

En 2007 des ingénieurs de la NSAVI ont travaillé pendant de nombreux mois pour développer le virus « Stuxnet« , qui visait les centrifugeuses du programme de recherche nucléaire Iranien. Les centrifugeuses, visées par ce virus, ont commencé à légèrement dysfonctionner, assez pour ralentir le programme de recherche nucléaire Iranien en lui faisant perdre près de 2 ans sur le calendrier d’origineVII, mais pas assez pour que les ingénieurs pensent à autre chose qu’à des dysfonctionnements de matériel. Une subtilité machiavélique. Plus tard, à propos de cette manipulation humaine indispensable pour réussir l’opération, un des architectes du virus a déclaré :

C’était notre Graal. Il s’est avéré qu’il y a toujours un idiot qui ne réfléchit pas trop à la clé USB qu’il transporte.

Et en effet, le virus, qui s’était déjà propagé dans une grande partie du monde, n’attendait plus qu’un humain pour entrer dans l’espace pourtant confiné et non connecté à Internet de ces laboratoires de recherche. Un des ingénieurs de la centrale a plus tard inséré sa clef USB dans un des ordinateurs de cette zone ultra-protégée, sans savoir qu’elle contenait le programme malveillant.

C’est loin d’être le seul moyen d’arriver à pénétrer les zones de sécurité, même ceux totalement déconnectés d’internet, puisque des chercheurs ont réussi à piller des données du disque dur d’un ordinateur en contrôlant la LED du disque dur et en récupérant les informations depuis un drone placé devant les fenêtres de l’immeuble de bureau visé par l’attaque.

Vous avez sans doute entendu parler ou cryptolocker, néologisme construit à partir des termes « crypto »VIII pour « chiffrer » et locker pour « verrouiller ». L’opération consiste à verrouiller l’ensemble des données de l’ordinateur au moyen d’une clef, ce qui le rend inutilisable. La victime pourra obtenir la clef de déverrouillage à condition de payer sous un délai très court une certaine somme au pirate.

Cette fois l’attaque se fait par email et peut viser les particuliers comme les entreprises, on parle ici d’ingénierie sociale puisqu’il faut faire preuve d’une certaine habileté pour amener la victime à cliquer sur le lien contenu dans le email qu’il vient de recevoir, ou l’inviter à ouvrir la pièce-jointe qui contiendra le programme de verrouillage.  Le pirate recherche des renseignements sur sa future victime, le nom de ses plus proches collaborateurs ou amis, se fait passer pour un d’entre eux, il rédige ensuite un email qui donnera envie à son destinataire de l’ouvrir, ce qui lancera l’opération de chiffrement du disque dur. Il n’est même pas toujours utile de pirater la boite email d’un proche de la personne visée puisque, dans les faits, tout le monde peut envoyer un email en changeant à sa guise le nom de l’expéditeur, de la même façon que vous pouvez mettre le nom que vous voulez sur le nom de l’expéditeur d’un courrier en recommandé que vous envoyer.

Et ça marche, puisque aux Etats-Unis en 2015 les victimes de ce type d’attaques ont payé plus de 24,1 millions de dollars de rançon, quand une étude conduite en France montre que le prix moyen que chacun serait prêt à payer pour récupérer les données de son disque dur est de 190€ !IX.

Dans un entretien que Grégoire Meurin, formateur à l’école nationale de la protection judiciaire de la jeunesse, a eu avec Yannick Meneceur, magistrat confronté au traitement judiciaire des dangers liés à la cybercriminalité et à la cyberdélinquance, et qui est paru dans la revue CAIRN Info, ce dernier indique :

Concernant la cyberdélinquance, en revanche cela explose, c’est tout à fait clair. En termes d’escroquerie sur Internet, sur les cinq dernières années, l’augmentation est exponentielle, en sachant que les infractions commises depuis le territoire français représentent moins d’un tiers de l’ensemble. Pour les deux autres tiers, les infractions proviennent de l’étranger. Nous avons deux sources principales : les pays de l’Est et l’Afrique subsaharienne ou centrale. Nous sommes sur deux registres d’infraction différents. Pour les pays de l’Est, il s’agit de faits d’intrusion dans les systèmes d’information, de captation de données, de comptes bancaires, etc. et la revente sur Internet. On vole, sur un site marchand, des numéros de carte bleue et on les revend sur Internet. Sur ce bloc des pays de l’Est, nous avons beaucoup de mal à travailler en termes de coopération judiciaire. L’idée pour eux est de ne pas utiliser ces numéros de carte bancaire mais de les revendre afin de minimiser le risque pénal. Le seul risque qu’ils prennent, c’est de s’introduire dans les systèmes d’information et de revendre les données sur des forums.

Pour l’Afrique subsaharienne, on a énormément d’escroqueries « à la nigériane ». Internet a facilité la commission d’escroqueries. Avant, cela existait avec des lettres qui étaient envoyées un peu au hasard, à partir de noms piochés dans l’annuaire avec les adresses. Avec Internet, cela est démultiplié. Les escrocs font croire aux gens qu’ils ont gagné un fort gain à une loterie sur place, qu’ils ont hérité d’un ambassadeur, etc. En France, il y a beaucoup de « mules », c’est-à-dire des gens qui récupèrent le produit des infractions. La croissance de ce type de délinquance est favorisée par les difficultés juridiques occasionnées par la coopération internationale.

D’autres arnaques sont encore un peu plus subtiles, comme la très récente offre de deux billets gratuits de la compagnie Air France pour ses 85 années d’existence. Il s’agissait en fait une arnaque consistant à récupérer des informations confidentielles des internautes et que vous avez certainement vue passer sur whatt’sapp, messenger ou Instagram (c’est ce qu’on appel du Fishing).

Deux techniques permettaient d’identifier le piège :

  1. Le bon sens : rien n’est jamais gratuit, vraiment, n’en doutez jamais
  2. Une lecture très attentive de l’adresse du site web, où l’on pouvait voir un point sous le a de france (si si, regardez!)

Si les fabricants de matériel et les éditeurs de logiciels ont tous intérêt à ce que leurs produits ou services soient exempts de virus ou de failles il arrive régulièrement que des pertes ou des vols de données soient constatés, et parfois largement minimisés. De plus de nombreux petits génies prennent beaucoup de plaisir à trouver la moindre faille dès que sort une nouvelle version d’un logiciel. Ces entreprises bénéficient en retour d’énormes avantages pour faire évoluer la sécurité de leurs services (à priori, car il existe des subtilités et des négligences coupables).

Mais les réseaux mafieux qui œuvrent dans les méandres du darknet, un espace non référencé d’internet, font des ponts d’or à ces petits génies de l’informatique pour qu’ils rejoignent leurs équipes et les aident à améliorer leurs outils. La récente condamnation à de la prison à vie du fondateur de SilkRoad, un américain de 31 ans au moment des faits, met en évidence les tentations auxquelles peuvent de même être confrontés certains individus à la vie au demeurant assez classique.

Sans sombrer dans la paranoïa il est bon d’être prudent, sur nos smartphones comme sur nos ordinateurs ou sur la route, la différence étant que sur les routes du monde à tout le moins les pirates sont très rares.

Les sites de streaming, les promos incroyables sur la paire de chaussures que vous recherchez, les IphoneX à 1€ en déstockage, les super offres d’achats via Le Bon Coin laquelle l’acheteur vous demande d’envoyer un mandat-cache en Afrique,  le mail d’appel à l’aide d’un ami coinçé à l’étrangerX… vraiment, vous pensiez que c’était sérieux ? Ne vous en voulez pas, c’est de nature humaine que de faire confiance et les pirates s’appuient sur cet état de fait pour bâtir leurs attaques.

Il ne s’agit que de quelques raisons parmi tant d’autres qui doivent tous nous conduire à améliorer notre culture de la cybersécurité. Vigilance, prudence, bon sens, des mises à jour régulières de votre système d’exploitations, vérifier que votre adresse mail n’est pas dans des fichiers présents sur le darknet, il existe des façons simples de se prémunir des risques les plus courants. Pour le reste partez du principe que si vous ne voulez pas que vos données soient accessibles à d’autres personnes que vous mieux vaut ne pas les mettre sur votre ordinateur, ne croyez pas que vous n’intéressez pas les pirates. Raphaël Angleraux, un des deux patrons de la société Icodia, récemment primée au FIC 2018, précise :

Les réseaux sociaux constituent une mine d’or pour les pirates. Les utilisateurs ne sont pas assez prudents, ils mettent en public les photos de leurs enfants, ou de leur chien sachant que dans 90% des cas les mots de passe, même chez les DSIXI, ont forcément un lien direct ou indirect avec un proche, un loisir préféré, etc.

Sans compter tout ce qu’un profil Facebook, Twitter, Viadeo, Instagram, Pinterest, Youtube dit de vous, de vos habitudes, de ce qui vous fait réagir, vous mobilise, des causes qui vous tiennent à coeur. Pour en savoir plus sur les bonnes pratiques l’ANSIIXII met régulièrement à jour cette page. : https://www.ssi.gouv.fr/administration/bonnes-pratiques/

Vous voulez vous faire un peu peur ? Hewlett-Packard, fabricant de matériel informatique et de photocopieurs, a réalisé plusieurs spots publicitaires sous forme de mini-série, et c’est particulièrement efficace ! Christian SLATER, qui tient un rôle de taille dans la génialissime série Mr Robot (la première saison est accessible à tous, les deux suivantes entrent un peu plus dans le dur et peuvent dérouter), est ici votre guide. Je vous invite à découvrir l’un des épisodes.

Imprimer

Références   [ + ]

I.Sources : https://fr.statista.com/statistiques/574542/utilisateurs-de-smartphone-dans-le-monde–2019/
II.BIOS en Anglais, pour Basic Input Output System
III.Sources http://www.mediametrie.fr/internet/solutions/observatoire-du-consommateur-connecte-infographie-e-commerce.php?id=25&page=36 et Fevad via ZDNet http://www.zdnet.fr/actualites/chiffres-cles-l-e-commerce-en-france-39381111.htm
IV.http://www.lemonde.fr/societe/article/2017/12/07/la-delinquance-en-baisse-devient-davantage-technologique_5225918_3224.html
V.Lire par exemle « 8 conseils pour renforcer la sécurité de sa connexion WIFI« 
VI.L’agence de sécurité nationale des Etats Unis d’Amérique
VII.Pour en savoir plus sur ce virus : https://www.nouvelobs.com/rue89/rue89-internet/20120604.RUE0433/stuxnet-comment-les-etats-unis-et-israel-ont-pirate-le-nucleaire-iranien.html
VIII.Dans les faits le terme Crypto n’a pas (encore ?) sa place dans la langue française : http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n%E2%80%99existent-pas/
IX.Pour en savoir plus je vos invite à découvrir cet article paru en avril 2016 sur ZDNet
X.Le plus souvent il s’agit d’un email provenant d’une de vos connaissances qui s’est fait pirater sa boite par une personne qui va, avec plus ou moins d’habileté, tenter de vous amener à lui envoyer de l’argent par mandat-cash, par exemple. L’email reçu prend la forme suivante : « Bonjour, Comment vas tu ? Bien j’espère. De mon côté, quelques pépins liés à des soucis de santé. Aurais-tu du temps à me consacrer par mail ? Car j’ai une faveur à te solliciter dans l’immédiat.  PS : Je suis temporairement injoignable par tél. Dom« 
XI.Directeurs des Services Informatiques
XII.Agance Nationale de la Sécurité des Systèmes d’Information