mercredi 21 janvier 2015

Alors que la cybermenace s'accroît, la cybercriminalité augmente en Europe


Deux importants rapports, l'un de l'Agence européenne de sécurité des réseaux (ENISA), l'autre d'Europol, sont disponibles alors que les questions de cybersécurité sont plus que jamais d'actualité.  La cybersécurité est à l'agenda avec :

Le premier rapport, à savoir le rapport de l'agence d'Heraklion, l'ENISA, intitulé "Threat Landscape and Good Practice Guide for Internet Infrastructure", constate une hausse globale des cybermenaces à l'exception des menaces aux noms de domaine. Ce rapport, publié il y a quelques jours (un rapport datant de 2013 ayant déjà été publié), énonce une série de recommandations comme :
  • l'utilisation de méthodes spécifiques 'évaluation de risque
  • l'élaboration de programmes de formation et de sensibilisation
  • la mise à jour constante des structures d'Internet

Le deuxième rapport, le rapport IOCTA d’Europol, constate, quant à lui, une augmentation de la portée de la cybercriminalité, de sa sophistication, du nombre et du type d’attaques, du nombre de victimes et des dommages économiques. Pour mémoire L'iOCTA, rédigé par l'EC3, est un rapport évaluatif de la menace orienté vers le cybercrime. Comme le SOCTA et le TE-SAT, il est établi par Euopol (à lire sur securiteinterieure.fr Le terrorisme dérivant de l’extrémisme religieux reste une priorité d'après Europol (TE-SAT 2014)
et Un budget d’Europol en baisse, mais une activité en hausse et  SOCTA 2013 : le trafic illicite de déchets et la fraude à l'énergie sont les nouvelles menaces émergentes).

Ce rapport décrit l'état de la menace et propose une série de pistes pour les contrer.
Par convention, selon ce rapport, distinguer les crimes qui existaient avant l’avènement d’internet et qui prennent maintenant une forme nouvelle (dits «internet-facilitated crimes»): la fraude, le blanchiment ou encore la pédopornographie.
A contrario, les crimes dits « internet-enabled crimes », sont les crimes apparus avec internet : les attaques de déni de service, le piratage informatique…
Le rapport avance plusieurs explications pour ce phénomène, particulièrement prégnant en Europe.

Un continent de plus en plus dépendant d’Internet…

Tout d’abord, ce continent est riche, et on peut noter un haut degré de pénétration du net, y compris via les smartphones et des infrastructures physiques très avancées d’un point de vue technologique. Ainsi, les économies européennes sont de plus en plus dépendantes d’internet. En témoigne par exemple une série de mutations récentes du web, comme le web 2.0 et 3.0. Dans le premier cas, le « web participatif » des réseaux sociaux, comme Facebook qui s’immisce dans tous les sites internet par le biais de ses « likes », sont autant de portes d’entrées pour des hackers potentiels. De même, ce que d’aucuns appellent le « web 3.0 », c’est-à-dire l’Internet des objets (« The Internet of Everything ») multiplie aussi les opportunités pour des acteurs malveillants. Par exemple, avec l’avènement des smart homes, il sera désormais aisé pour d’éventuels cambrioleurs de prévoir leur méfaits, ayant été informés de l’absence des propriétaires par le biais du piratage d’une caméra de surveillance par exemple.

Plus globalement, l’ère des Big Data, c’est-à-dire de l’information nouvellement crée sur le net, y compris la datafication (collecte de données à propos de toutes personnes, objets ou lieux) et du cloud computing est une manne pour les criminels du 21ème siècle. Ainsi, avec la montée en puissance des Big Data, des entreprises, appelées data brokers, vont détenir beaucoup de données, ce qui représente des risques potentiels en terme de vol.

Par ailleurs, si l’Europe est très touchée par la cybercriminalité, les données compilées par Europol montrent que statistiquement les attaques viennent surtout des pays dit « du Sud » et de la Russie, ou tout du moins hors de l’UE. Et cette dynamique ne fera que prendre de l’ampleur, en raison du développement (quantitatif et qualitatif) d’internet dans ces régions.

…. Ce qui attire des hackers et des criminels plus traditionnels : développement d’un « crime as a service business model »

Un autre facteur important est le développement récent du « crime as a service business model ». Ce modèle consiste, pour des criminels (organisés ou pas) plus traditionnels, à louer des botnets, ou de manière générale les services de hackers (déni de service, malware, vol de données, et même des services de traduction pour corriger les fautes dans les « arnaques à la nigériane »…) car ils n’ont pas encore eu le temps d’acquérir l’expérience nécessaire, ou l’envie de développer les compétences techniques. Cela leur permet de lancer des attaques totalement disproportionnées par rapport à leurs compétences et aussi pour un prix disproportionné par rapport aux dommages potentiels de leurs attaques.

 … ce phénomène étant renforcé par les caractéristiques intrinsèques d’Internet

Ce phénomène est tout d’abord renforcé par l’anonymat permit par internet. Au niveau le plus basique, cela se traduit par l’utilisation de proxy ou de VPN. Mais de manière plus précise, une partie sans cesse grandissante de ces activités cybercriminelles passe par le Deep Web, c’est à dire portion de l’internet qui n’est pas indexée par les moteurs de recherche. A l’intérieur de ce Deep Web, on trouve les Darknet, des réseaux peer-to-peer qui utilisent des technologies comme The Onion Router (TOR) ou encore l’Invisible Internet Project (I2P). Le premier, le plus connu, est un réseau informatique superposé (réseau informatique bâti sur un autre réseau) mondial et décentralisé.

Deuxièmement, les cybercriminels opèrent dans un cadre précis. Il existe tout d’abord des forums spécialisés, comme sur l’Internet classique, où la mise en relation entre ces hackers (offre) et la criminalité plus traditionnelle (demande) s’effectue. Les cybercriminels se connaissent en effet rarement en dehors du net.
Ces forums sont apparus dans les années 2000, mais se sont depuis sophistiqués et professionnalisés: augmentation du niveau d’expertise, gamme de service de plus en plus étendue.
On note d’ailleurs la présence d’une division du travail et donc une spécialisation par type d’attaques chez les hackers.
Il existe aussi des marchés criminels, dont le plus connu est la Silk road (mais il y en a d’autres : Agora, Outlaw…).
Comme sur le web classique, on y trouve même des commentaires d’internautes, s’exprimant sur la qualité des produits ou des services rendus. Malgré cela, la plupart des criminels utilisent encore le web classique, notamment en raison de sa rapidité plus importante.

Enfin, l’utilisation de cryptomonnaies décentralisées (c’est-à-dire sans autorité régulatrice) comme le bitcoin, permettent de garantir l’anonymat et donc l’impunité des criminels.
Si en raison de sa volatilité ce type de monnaie n’est pas encore utilisé de manière extensive par les cybercriminels, cela risque de changer avec l’arrivée probable de cryptomonnaies « de niches », développées spécialement pour des activités illicites.

Panorama des différentes formes de cybercriminalité actuelles

  • Malware : Dans le cadre du « crime as a business model », les organisations criminelles classiques peuvent « commander » plusieurs types de malwares différents : Alors que les « ransomware » rendent inopérant l’appareil de la victime (y compris par l’encryptage de fichiers de valeur sentimentale pour la victime, le cryptoware), en attendant que cette dernière paye une « taxe » pour le débloquer, d’autres malwares se contentent d’y installer une « backdoor », afin de s’y réintroduire plus tard.
  • Pédopornographie : Si la plupart des pédophiles ne font pas parti de groupes criminels, Internet leur permet néanmoins de se rencontrer sur des forums en ligne. Ces forums ont des effets doublement délétères : non seulement ils permettent aux pédophiles de s’entraider pour échapper aux forces de l’ordre (comment supprimer les données EXIF par exemple), mais ils les confortent aussi dans leurs idées, en plus de leur fournir de nouvelles opportunités (accroissement du nombre de cibles potentielles, conseils de destinations pour du tourisme sexuel….). Concrètement, deux tendances montrent la gravité du phénomène. On observe d’abord une diminution de l’âge de victimes. Ainsi, 80% d’entre elles ont moins de 10 ans. Ensuite, l’abus d’enfants en direct par webcam est un phénomène grandissant, ce qui n’est pas sans poser de problèmes pour les autorités policières et judiciaires (au niveau des preuves).
  • Fraude à la carte bancaire : La fraude à la carte bancaire via internet, représente désormais 60% du total des fraudes à la carte bancaire, contre 40% pour le skimming. Deux étapes sont distinguées : l’obtention des données de la carte bancaire, et ensuite leur monétisation.
  • « Crimes related to social engineering » : sous ce vocable se cachent des méthodes et techniques (spam et phishing), en ligne ou dans le monde “réel”, visant à manipuler une personne afin qu’elle révèle volontairement des informations, ou qu’elles transfèrent volontairement de l’argent.
  • Attaques sur des infrastructures « critiques » : Du fait des dépendances entre secteurs, une attaque sur un secteur donné (énergie, transport, santé) peut avoir des effets en cascade sur les autres secteurs.

Recommandations clés

Accroître la visibilité et la présence en ligne des autorités

Le rapport part du principe que le développement de cette cybercriminalité est nourri par l’anonymat mentionné supra., mais aussi par l’absence de présence policière en ligne, et donc l’absence de dissuasion.
En effet, la plupart des cybercriminels, de véritables homo economicus, font un constat rationnel : alors que les cybercrimes sont très profitables en matières de gains, ils sont aussi demandent aussi peur d’efforts et comportent encore peu de risques. Une telle mesure a un double but : d’une part, dissuader les cybercriminels en puissance et en acte, et d’autre part rassurer par conséquent les internautes quant-à la sécurité d’Internet.

Accroitre la coordination entre les différents acteurs en présence

Le rapport souligne aussi la nécessité d’accroitre la coordination entre les différents acteurs en présence, notamment entre le secteur public et le privé, dans la mesure où les cybercriminels exploitent toujours le maillon faible de la chaine (utilisateurs ou appareils). En effet, certaines entreprises auraient par exemple peur de révéler qu’elles auraient subi une attaque (réussie ou non), et ce pour ne pas prendre le risque de ternir leur réputation. Pour faire face à ce problème, le rapport préconise de donner des garanties de non-divulgation aux entreprises qui accepteraient de révéler aux services de police qu’elles ont subi des cyberattaques.

Plus globalement, le lancement de campagnes de sensibilisation permettrait de développer une « hygiène digitale », autant pour les internautes que pour les firmes privées. Par exemple, mettre son équipement informatique à jour est crucial dans la lutte contre le hacking. Or cette pratique de bon sens n’est pas encore forcément développée, pour des raisons de contraintes temporelles et/ou financières.

De même, l’externalisation croissante d’une partie des activités de certaines entreprises les rend vulnérables aux vols de données, les sous-traitants n’ayant pas forcément mit en place des mesures de sécurité aussi strictes et efficaces que l’entreprise qui externalise.

Résumé du rapport iOCTA fait sous la supervision de securiteinterieure.fr par A. Jeanneau, étudiant du Master Sécurité, Intelligence et Gestion des risques (SIGR) de Sciences Po Lille dans le cadre du cours "Sécurité intérieure et menaces transnationales".


A lire sur securiteinterieure.fr :


A lire aussi sur securiteinterieure.fr :


A lire aussi une synthèse de l'iOCTA par l'INCEBE





suivez securiteinterieure.fr sur twitter : securitepointfr


retour au sommaire de securiteinterieure.fr



page principale :


Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.