ds Autorités - Cybersecurity Tren anglo-saxonne nous offre une terminologie permettant d’en distinguer deux catégories majeures : les «cybеrdеpеndеnt crimеs» à savoir les infractions informatiques qui ne peuvent se dérouler que dans l’espace virtuel, comme la création et la gestion de réseaux de botnets ou d’applications malveillantes, et les «cybеr-еnablеd crimеs», à savoir les délits dont l’envergure nouvelle est due au milieu en ligne, comme le carding, skimming ou encore les fraudes qui concernent les plateformes de commerce en ligne3. Les manifestations majeures de la criminalité informatique sont les attaques proprement dites, les fraudes en ligne, mais aussi la vente de pédopornographie en ligne. Si l’on dissèque l’évolution du phénomène, on constate que l’échange de données a joué un rôle majeur : il existe aujourd’hui des plateformes dédiées, permettant aux criminels d’échanger des informations et des données dans des conditions d’anonymat total4. Ces plateformes, à n’en point douter, ont bel et bien été la pierre fondatrice de la naissance du concept de «crime-as-a-service».
La plupart de ces fora sont organisés de façon hiérarchique, leur accès n’étant permis que sur la base d’un certain nombre de critères – qu’il s’agisse de l’acquittement d’une taxe, de bénéficier de la recommandation d’un membre ou sur la base de sa propre réputation –. De la même façon, les membres y sont répartis en plusieurs catégories, tenant compte de leur ancienneté dans le groupe, de leur niveau d’expertise ou de leur notoriété. Dans le cadre des fora de criminalité informatique, les agresseurs digitaux s’échangent des expertises, achètent et revendent des instruments, des malwares et d’autres outils nécessaires au bon déroulement d’une attaque. Durant ces dernières années, les attaques de type ransomware (rançons) ont connu une évolution en pleine ascension, menées à bien par des groupes criminels détenant la capacité de distribuer des malwares à des millions d’ordinateurs de façon simultanée. Une
30
fois infectées, les données contenues par les ordinateurs des victimes sont cryptées par un algorithme sophistiqué, impossible à décrypter. Or, écarter les fichiers malveillants d’un poste infecté ne réduit pas les dommages subis, puisque les fichiers restent inaccessibles à l’utilisateur légitime, à moins que celui-ci ait eu le bon sens d’effectuer des sauvegardes régulières de celles-ci. Le but du crime est ainsi d’encaisser une rançon en échange de laquelle la victime recevra la clé de décryptage, mais on a observé fréquemment qu’il existe le risque que, même après le paiement de la rançon, souvent demandée en Bitcoin, cette clé ne soit pas fournie et que la victime reste à jamais dans l’incapacité de récupérer ses données. L’évolution rapide des attaques de type ransomware s’explique elle aussi par l’adoption du modèle de ransomware-as-a-service, grâce à laquelle des criminels aux faibles connaissances techniques ont pu reprendre à leur compte des outils et des services développés par des programmateurs de malware afin de dérouler leurs propres attaques de type ransomware5. Les développeurs de ransomware publient les codes de leurs applications par l’intermédiaire de sites dédiés, où les infracteurs peuvent acheter facilement le malware. De nombreux «kits» de ransomware sont même disponibles gratuitement, ce qui implique qu’au moment où la rançon a été payée directement aux développeurs, ceux-ci en redirigeront une partie vers les «utilisateurs» ou les «acquéreurs» du paquet. Par exemple, le ransomware Cerber a été l’un des paquets les plus répandus, dans la catégorie du ransomware-as-a-service. A lui seul, il a généré pour les criminels un revenu de 2,3 millions de dollars de par année6. Ce ransomware était facile d’usage et bon marché à l’achat, deux raisons pour lesquelles il a connu une grande popularité. D’après le rapport annuel publié par l’entreprise SonicWall, les attaques avec rançon sont passées d’un bénéfice de 167 millions de dollars en 2015 à 638 millions en 20167. Les applications de ce type les plus récentes incorporent des méthodes novatrices permettant d’éluder les systèmes de protection antivirus, ce qui accroit la possibilité que ces ransomware ne soient ni détectés, ni éliminés à temps. De même, les dernières variantes de ransomware incluent de nombreuses autres fonctions de base, en sus du cryptage des fichiers, comme le vol des données bancaires ou des données personnelles de leur victime. Le vecteur d’infection le plus utilisé est la propagation de ransomware à travers de vastes campagnes de spam ciblant des millions d’adresses de courriel (comme c’est le cas, par exemple, des tristement célèbres TeslaCrypt et Locky). Le spam utilisé pour la distribution du malware est caractérisé par le fait qu’il prétend être un message important provenant d’une structure connue des usagers (comme par exemple une facture concernant diverses formes de biens ou de services). Une protection optimale contre ce genre de vecteurs d’infections informatiques se doit de passer par l’adoption de solutions alternatives, comme l’éducation des utilisateurs, l’adoption d’un guide de bonnes pratiques ou encore la mise en œuvre de services spéciaux de scan des courriels. Par ailleurs, un autre mode d’infection est représenté par l’utilisation de «kits d’exploits», installés dans le cadre d’applications web dont le rôle est d’infecter les outils informatiques de la victime simplement lorsqu’elle