Par Eugène Kaspersky, fondateur de Kaspersky Lab, expert international dans la lutte contre la cybercriminalité
Notre société a évolué à tel point, que, pour bon nombre d’entre nous, une partie importante de notre vie se déroule sur le Net. Ce monde virtuel est sous bien des aspects un reflet fidèle du monde réel. C’est tout naturellement que les criminels, qui font malheureusement partie intégrante de notre organisation sociale, ont eux aussi pris leurs quartiers dans le monde virtuel.
La présence des cybercriminels est aujourd’hui plus évidente en raison de la liberté et de la croissance des échanges économiques et de l’information, qui sont des cibles chaque jour plus alléchantes. Le milieu de la cybercriminalité touche désormais à maturité, avec des « business models » déjà bien rodés.
En effet, c’est ouvertement et tout à fait librement qu’une nouvelle catégorie d’agents criminels participe à l’achat ou à la vente de code malveillant. Le profil des cybercriminels couvre aussi bien les petits voleurs qui dérobent de petites sommes d’argent à un grand nombre de victimes, que les fraudeurs à grande échelle, qui volent de grandes sommes d’argent en une seule fois.
Les activités criminelles s’inscrivent toujours dans la mouvance des affaires légales – l’image du comptable travaillant pour la mafia nous vient immédiatement à l’esprit. Toutefois, la cybercriminalité ne se présente pas encore sous la forme d’une ou de plusieurs organisations de taille planétaire, où l’on trouverait un mystérieux « Dr. No » aux commandes. Malgré tout, il s’agit déjà d’un univers interdépendant, organisé autour de certains groupes présentant des caractéristiques complémentaires.
Prenons l’exemple d’un individu qui possède le contrôle d’un « botnet » (réseau d’ordinateurs robotisé), capable de lancer des attaques DDoS (Déni de services) ou de distribuer des spams : il aura besoin d’adresses de courrier électronique. L’administrateur du botnet peut alors fournir ces adresses généralement volées. De même que la présence d’une usine de moteurs favorise dans la même région l’apparition d’industries secondaires, spécialisées dans la production de carburateurs, il n’est pas nécessaire pour les cybercriminels que les échanges soient organisés, mais seulement qu’ils répondent à un intérêt réciproque.
Le cybercrime est un métier très organisé
En 2009, le cybercrime constitue un secteur du crime économique comme un autre. La cybercriminalité est une forme d’exploitation économique qui répond aux mêmes critères de gestion traditionnels, tels que la rentabilité ou la gestion des risques, la facilité d’utilisation des produits ou l’importance des marchés émergents.
Le critère le plus important pour n’importe quelle entreprise étant la rentabilité, la cybercriminalité ne fait pas exception à la règle. C’est un fait que la cybercriminalité est extrêmement profitable. De grandes sommes ont été volées avec succès, tantôt en une seule fois, tantôt par petites quantités mais en très grand nombre. En 2008, c’est près de 100 milliards de dollars qui ont été générés par cette activité selon les sources de plusieurs acteurs du marché de la lutte contre la cybercriminalité.
Le deuxième facteur essentiel dans la croissance de la cybercriminalité, entendue comme une activité commerciale, est le degré minimum de risques, comparé aux chances de réussite. Dans le monde réel, la dimension psychologique avec la prise de risques réels du crime assurent un certain effet de dissuasion. Mais dans le monde virtuel, les criminels ne sont jamais directement en contact avec leurs victimes ni avec les différentes sociétés qu’ils décident d’attaquer. Il est beaucoup plus facile de voler anonymement quelqu’un que vous ne pouvez ni voir, ni toucher ni même connaître.
Pour profiter de cet anonymat, il existe de nombreuses ressources disponibles permettant de mettre au point des solutions complètes. Ces « solutions » vont de l’usage de la simple vulnérabilité, jusqu’à l’emploi des chevaux de Troie permettant d’automatiser des réseaux d’ordinateurs ou « botnets » à la recherche de sites e-commerce « vulnérables ». Ainsi, les sites de e-commerce et les banques en ligne, qui s’efforcent de favoriser les transactions financières, jouent sur la corde raide à force de rechercher le meilleur compromis entre la vitesse des prestations et les critères de sécurité. Idem pour les jeux en ligne. Sur ce type de services, les délits comprennent le vol de mots de passe et de propriétés virtuelles, qui sont revendus avec un profit substantiel. Evidemment, les services boursiers en ligne constituent des solutions commodes et rapides pour réagir aux fluctuations des marchés boursiers. Ils sont une cible tentante pour les criminels, en raison de la forte liquidité des actifs échangés sur les marchés boursiers. Enfin, le Web 2.0 avec son cortège de réseaux sociaux, blogs, forums, MySpace, YouTube, Twitter… L’ensemble de ces services en ligne jouent sur la facilité de téléchargement, de publication et d’autres techniques d’échange des informations, qui rendent leurs utilisateurs vulnérables aux infections de logiciels malveillants.
Diffuser et installer discrètement le « malware »
D’une façon générale, pour atteindre leur but, les cybercriminels doivent mettre en œuvre deux types de techniques différentes : la distribution d’une part, et le déploiement d’autre part de leur code malveillant.
La première phase, pour n’importe quel cyber-délit, est la distribution et l’installation du code malveillant. Les cybercriminels emploient un certain nombre de techniques dans ce but. Les principales techniques de distribution des logiciels malveillants, font aujourd’hui appel au spam et aux sites Web infectés, également désignés comme « vecteurs d’infection ». L’installation idéale est une machine vulnérable permettant une installation immédiate du code malveillant, qu’il soit distribué par spam ou dans un scénario « autopolluant », c’est à dire où le malware est téléchargé par la victime elle-même, lorsqu’elle visite un site Web.
Une fois distribué, les criminels s’efforcent de faire en sorte que le logiciel malveillant reste indétectable le plus longtemps possible. Les auteurs emploient un certain nombre de stratégies techniques pour maximiser la durée de vie des composants de leur logiciel malveillant.
La stratégie principale est de rester invisible, non seulement lors de la distribution du logiciel malveillant, mais aussi pour en assurer la survie. De la « furtivité » du logiciel malveillant face aux systèmes heuristiques de prévention de solutions antivirales et aux mécanismes de contrôle antipiratage dépendra en effet le temps dont disposera le logiciel pour pénétrer dans les machines infectées et récupérer les données. L’invisibilité est habituellement obtenue moyennant des techniques de masquage des processus (« rootkit ») ; la suppression des messages d’erreur système ; la dissimulation de l’augmentation de taille des fichiers ; la compression répétitive avec plusieurs outils de compression et la suppression des messages d’avertissement de l’antivirus.
Eugène Kaspersky
