Pour la première fois, le Clusif (Club de la sécurité des systèmes d’information français) a dressé un panorama de la cybercriminalité pour l’année écoulée. Pour mieux en souligner la diversité et les fausses idées que l’expression traîne dans son sillage.
" Nous n’avons pas cherché à être exhaustifs ", prévient Pascal Lointier, vice-président du Clusif, le Club de la sécurité des systèmes d’information français. Lors de la présentation de l’étude " Panorama de la cyber criminalité, année 2001 ", mardi 15 janvier 2002, huit thèmes ont donc été balayés, depuis le paiement frauduleux par le biais d’une Yescard (une carte à puce programmable) jusqu’aux attaques de virus (CodeRed et BadTrans, principalement) en passant par les programmes qui permettent de casser les protections anti-copie dans les eBooks d’Adobe ou sur les DVD. Les intervenants ont également évoqué la fouille des poubelles d’une entreprise par un de ses concurrents (low-tech, mais ô combien efficace), comme pour relativiser l’importance de la cyber criminalité par rapport aux méthodes traditionnelles.
Pas d’alarmisme
Au-delà d’un simple travail de recensement des formes diverses que peut prendre l’utilisation des moyens informatiques à des fins illégales, ce qui intéressait le Clusif était de dégager des tendances.
Premier chapitre : y a-t-il une recrudescence de la cybercriminalité et une aggravation de ses effets dévastateurs ? " Nous ne sommes pas équipés pour savoir si le volume d’actions frauduleuses via le réseau augmente, nous ne pouvons que dévoiler celles que nous détectons ", déclare Pascal Lointier, qui ne veut surtout pas " hurler avec les loups ".
Ce qu’il constate, c’est que les discours alarmistes évoquant les dizaines de milliards de dollars de dégâts causés par tel ou tel virus sont difficilement vérifiables. " En tout cas, en demandant à nos membres de nous faire remonter l’information sur l’impact du virus Mélissa, nous nous sommes aperçus qu’il était bien moins répandu et nocif que ce qui avait été dit ", témoigne Pascal Lointier. Pour mieux évaluer les conséquences économiques des virus, le Clusif a donc mis en place voici quelques mois un observatoire d’impact... qui n’attend plus qu’un bon gros virus pour se mettre en branle et faire ses preuves !
Virus informateurs
Deuxième chapitre : en matière de virus, l’autre évolution qui se dessine concerne leur nature. À côté de virus comme Goner ou Anna Kournikova, qualifiés d’amateurs par les professionnels de la sécurité informatique et qui ne visent qu’à détruire des informations contenues dans un ordinateur, une nouvelle génération émerge. L’exemple le plus marquant de l’année 2001 est BadTrans, qui collecte sur les ordinateurs infectés des informations de sécurités (nom d’utilisateur, mot de passe, etc.) pour ensuite les transmettre par Internet. Et ainsi rendre l’ordinateur vulnérable à de futures intrusions.
Cette différence de nature pousse certains spécialistes à penser que leurs auteurs pourraient être d’un autre type, agissant de façon plus professionnelle à des fins de renseignement commercial ou stratégique. Les bidouilleurs informatiques voulant tester leur savoir-faire en matière de programmation et connaître le frisson de l’illégalité sont bien loin de cette réalité. L’ère de l’info guerre a commencé.