Reconnaissons-leur de la persévérance: en septembre, à cinq reprises en moins de dix jours, des inconnus ont tenté de voler les données personnelles de clients sur la place de marché en ligne ricardo.ch. C’est leur méconnaissance de la réalité locale qui les a trahis: l’objet indiqué dans leur e-mail de phishing était une facture impayée de 1 franc 27.
Bien sûr, on trouve des escrocs plus malins sur Internet. Comme ceux qui sont spécialisés dans l’exploitation des failles de sécurité dans les systèmes d’exploitation, les navigateurs ou les formats de fichier. Pour cela, ils infectent des sites Web populaires avec des programmes malveillants et piratent les ordinateurs des visiteurs qui négligent d’installer les rustines de sécurité mises à disposition par Google, Apple, Microsoft, etc.
Qu’elles soient artisanales ou professionnelles, ces attaques ne sont plus aujourd’hui le principal danger d’Internet. Avec un peu de bon sens et des mises à jour régulières, on peut même les éviter assez facilement.
Attaques de plus en plus ciblées
Ce qui inquiète davantage encore la police et la justice, ce sont les attaques ciblées contre les administrations, les institutions ou les entreprises. Les malfaiteurs tentent ainsi de paralyser le site Web de leur cible ou de prendre les commandes de ses infrastructures informatiques.
Comment? En introduisant des chevaux de Troie via le point faible des organisations, à savoir les utilisateurs devant l’écran. Les truands se présentent comme des fournisseurs, des clients ou des supérieurs hiérarchiques et tentent d’inciter un collaborateur à activer un logiciel malveillant.
«L’imagination des criminels n’a pas de limites», explique le procureur Stephan Walder, directeur du centre de compétences Cybercrime dans le canton de Zurich. Il peut citer des cas où les pirates avaient le visage d’un jovial employé de hotline au dialecte impeccable.
«L’imagination des criminels n’a pas de limites.»
Stephan Walder, procureur dirigeant auprès du centre de compétences Cybercrime
Si les grandes entreprises ont longtemps été les seules menacées, les choses ont changé. Dans son dernier compte rendu annuel, le Service de coordination de la lutte contre la criminalité sur Internet (SCOCI) rapporte que «les PME sont de plus en plus souvent la cible d’escrocs». En effet, contrairement aux grandes entreprises, les PME disposent rarement d’un contrôle 24 h / 24 des équipements informatiques. Mais à l’inverse des particuliers, leur existence dépend du bon fonctionnement des équipements informatiques.
Menace de la pire espèce
Le double cheval de Troie Dridex Carbanak, par exemple, pénètre les systèmes sensibles tels que l’Enterprise Resource Planning. Une fois que le document Office dans lequel il est caché est ouvert, Dridex Carbanak entre en jeu et déclenche des paiements sur des comptes tiers par E-Banking, de telle manière que la société lésée ne remarque rien dans un premier temps.
Un représentant de la justice américaine a récemment désigné les Dridex comme faisant partie «des maliciels les plus malfaisants du monde». Ce parasite est aussi dans le viseur du Ministère public de Zurich. Toutefois, Stephan Walder ne peut s’exprimer sur l’état de l’enquête. «Nous ne souhaitons fournir aucun indice aux criminels.» Stephan Walder connaît bien sa clientèle puisqu’il combat la cybercriminalité depuis 2007.
Son équipe de 14 collaborateurs compte deux procureures générales assistantes, des policiers et des informaticiens. Ils travaillent de concert depuis 2013 dans une aile de l’ancienne caserne de Zurich, 4e arrondissement.«La proximité géographique est parfois importante pour des raisons de rapidité.»
Expéditeur russe. Que faire?
Comme dans l’affaire qu’il a suivie la veille: un virus qui a crypté toutes les données d’une PME high-tech de la région de Zurich. Immédiatement, les enquêteurs de la police cantonale zurichoise recherchent des cas analogues. Mais il apparaît très vite que celui-là ne répond pas à un schéma connu. En effet, le délinquant ne réclame pas d’argent et a laissé une adresse e-mail russe. Pourquoi? Cherche-t-il à brouiller les pistes? Mais alors dans quel but? Pour couvrir un autre forfait? Les hypothèses sont nombreuses.
«Nous explorons toujours toutes les pistes», explique le procureur général, qui a demandé une investigation en ligne secrète dans les 24 heures après la notification. Ainsi, un agent de la police cantonale est chargé de contacter l’auteur en se faisant passer pour un informaticien de l’entreprise attaquée. «Le malfaiteur doit nous révéler où il se trouve.»
Un travail de fourmi
Dans le langage des autorités judiciaires, on parle de localisation. Vient ensuite l’étape de l’identification. L’acte criminel doit être relié à une personne de chair et de sang. Or, étant donné qu’Internet offre d’innombrables opportunités de rester anonyme, cette deuxième étape implique ce que Stephan Walder appelle un travail de fourmi.
Dans le cas concret de l’attaque de cryptage, la piste pourrait remonter vers un internaute russe que la police pourrait éventuellement arrêter. Mais le suspect est-il vraiment l’auteur? A-t-il agi de son propre chef ou pour le compte d’un tiers auquel il n’était lié que par cet ordre?
Les criminologues parlent de «crime as a service». Un donneur d’ordre sonde le marché et configure son «paquet». Il peut alors passer commande d’un cheval de Troie inédit ou d’une attaque par déni de service (DDoS) à bon marché. Il contacte ensuite un passeur d’argent («money mule») pour assurer le transfert des rançons.
OComme la drogue, les armes ou la pornographie enfantine, ces services sont proposés sur le Darknet. C’est le lieu de rencontre entre sponsors et entreprises générales, entre développeurs de logiciels et spécialistes du recrutement. «2015 a été marquée par une professionnalisation de la cybercriminalité», selon le dernier rapport annuel de l’Office fédéral de la police (Fedpol).
Les signalements ont doublé
L’offre stimule la demande. Selon la Fedpol, un cinquième des 11 575 signalements pouvaient entraîner des poursuites pénales et un dixième concernaient un rançongiciel du type de celui utilisé contre la PME high-tech zurichoise.
Le préjudice économique qui en découle est considérable. La Suisse n’ayant pas de statistiques officielles, seules font foi les études comme celles menées par le Center for Strategic and International Studies (CSIS) de Londres.
Selon le CSIS, le préjudice causé par la cybercriminalité dans le monde s’élevait à 400 milliards de dollars en 2014. Rapporté à la Suisse, qui représente un pour cent de l’économie mondiale, cela signifie un montant de 4 milliards de dollars.
Expert en cybercriminalité chez Economiesuisse, l’organisation faîtière de l’économie suisse, Erich Herzog connaît particulièrement bien les conséquences économiques de la fraude sur Internet. Interrogé sur ces chiffres, il en modère la pertinence. «Spéculer sur les chiffres inofficiels masque la dynamique profonde à laquelle nous sommes confrontés.»
Le revers de la numérisation
Pour ce juriste ayant travaillé dans l’industrie informatique, chaque nouveau système connecté à Internet – depuis la voiture de service jusqu’à la fraiseuse – multiplie les angles d’attaque pour les cybercriminels. «Et quand on veut plus de productivité et de confort, il faut avoir conscience des risques que cela entraîne», souligne Erich Herzog. Il appartient au monde politique et économique de mettre en place une protection adéquate.
La cybercriminalité croissante est-elle le prix à payer pour la numérisation? Pour le procureur général Stephan Walder, ces considérations sont secondaires. Son travail consiste à poursuivre les malfaiteurs et il reconnaît que le taux d’élucidation de la cybercriminalité doit être amélioré.
De concert avec son équipe, il est préoccupé par la démocratisation des technologies d’anonymisation et des services criminels. «Grâce à cela, même des non-initiés peuvent se transformer en délinquants Internet extrêmement sophistiqués», explique-t-il.
Ainsi, les enquêtes du centre de compétences Cybercrime débutent souvent en Europe de l’Est, en Inde ou en Chine, mais conduisent dans l’environnement de la victime: concurrents économiques, anciens collaborateurs ou même épouses délaissées.
Sept termes à connaître impérativement
Ingénierie sociale
Les cybercriminels attaquent de préférence le maillon le plus faible de la chaîne de sécurité informatique: l’être humain. L’ingénierie sociale désigne les méthodes incitant les utilisateurs à livrer des informations confidentielles ou à activer un maliciel.
Identity fraud
Ce type d’ingénierie sociale consiste à se faire passer par exemple pour un supérieur hiérarchique, par le biais d’un e-mail ou par d’autres moyens, afin de déclencher l’envoi de données confidentielles ou une transaction financière (CEO scam).
Dans une variante actuellement très populaire en Suisse, l’assaillant pirate le compte e-mail d’un fournisseur et envoie des mails aux clients de ce dernier en leur indiquant de nouvelles coordonnées bancaires (les siennes) pour encaisser des virements qui semblent à première vue réguliers (business e-mail compromise).
Pishing
Dans le cas du phishing, le délinquant pousse ses victimes à divulguer des données sensibles comme le nom d’utilisateur ou le mot de passe au moyen d’e-mails ou de sites falsifiés. Le spear phishing est une attaque de phishing ciblée et personnalisée.
Maliciel
Maliciel (malware) est un terme générique utilisé pour désigner virus, vers, chevaux de Troie, renifleurs de mots de passe, spambots ou bootkits. Le maliciel s’installe dans le système protégé afin de le manipuler ou de le paralyser sans que la victime en soit consciente.
Cheval de Troie
Dissimulés dans les e-mails, les pièces jointes ou des liens, les chevaux de Troie donnent accès au serveur de l’entreprise. Ainsi, les chevaux de Troie bancaires peuvent espionner les données E-Banking ou déclencher des paiements en ligne.
Rançongiciel
Un rançongiciel est une forme de maliciel qui utilise le cryptage des données de la victime. Le pirate demande une rançon pour décrypter les données. Les rançongiciels sont de plus en plus fréquents.
DDoS
Quand plusieurs terminaux – souvent télécommandés – submergent un serveur de demandes afin d’en compromettre la disponibilité, on parle de «Distributed-Denial-of-Service», à savoir d’une attaque par déni de service. Sont généralement concernées les entreprises dotées d’un modèle d’affaires online, notamment les boutiques en ligne.