Signe de sa « maturité », l’industrie du cybercrime applique les mêmes procédés de gestion et de production que les industries plus traditionnelles : sous-traitance, spécialisation, etc.
On apprend dans la dernière édition – la treizième – du Rapport sur les menaces Internet de Symantec, qui couvre la période de juillet à décembre 2007, que les groupes qui perpétuent les attaques sur Internet sont de plus en plus organisés. Elle est bien révolue, l’époque des pirates amateurs; ce sont maintenant des organisations bien structurées ayant des objectifs précis, des moyens efficaces pour les atteindre et faisant preuve de créativité et d’ingéniosité pour contourner les dispositifs de protection mis en place. On peut donc parler d’une industrie mature.
Premièrement, pour contourner les pare-feux et les systèmes de détection et de prévention des intrusions, mis en place dans les réseaux corporatifs pour les protéger contre les attaques massives à diffusion générale, les cybercriminels ciblent dorénavant les sites Web et les ordinateurs individuels branchés à Internet. De cette façon, les attaques sont plus difficiles à déceler, d’où leur plus grande efficacité. La majorité des attaques sont donc ciblées et prennent naissance sur le Web.
L’augmentation importante des vulnérabilités identifiées par Symantec dans le code des sites Web explique également le changement de stratégie des cybercriminels. La firme en a décelé 11 253 au terme de la période couverte par le rapport. En comparaison, la moyenne est de 2 134 vulnérabilités pour cette période de l’année. Les cybercriminels utilisent ces vulnérabilités pour lancer des attaques contre les utilisateurs.
« Bien que les attaques soient plus fréquentes dans l’environnement Windows, la plateforme n’a pratiquement plus d’importance aujourd’hui, affirme Dean Turner, directeur du réseau de veille global, Réponse à la sécurité, chez Symantec. En fait, la plateforme ciblée par les cybercrimels, c’est le Web. »
Qui plus est, les cybercriminels vont choisir de lancer leurs attaques à partir de sites envers lesquels les utilisateurs ont une grande confiance, notamment les sites communautaires et les réseaux sociaux, tels que FaceBook et mySpace. Ce faisant, ils profitent de l’occasion pour voler les références des utilisateurs qui serviront aux prochaines attaques.
« Le risque est maintenant de nature comportementale, résume Dean Turner. Les gens ont confiance en ces sites, ils n’ont aucune méfiance et sont un peu naïfs. Et pourtant, c’est bien indiqué sur ces sites qu’ils ne sont responsables de rien. »
Économie souterraine
Symantec note aussi le développement d’une économie souterraine, mature et consolidée, fondée sur les activités cybercriminelles. C’est que les cybercriminels ne se contentent plus de paralyser des sites Web pour le plaisir, ils agissent pour tirer des revenus de leurs activités et s’enrichir. Symantec observe cette tendance depuis environ deux ans.
Les cybercrimels vont chercher plus spécifiquement à s’emparer d’informations confidentielles permettant de réaliser des opérations frauduleuses. Figurent parmi ces informations les données d’identité, les numéros de carte de crédit et les coordonnées bancaires des utilisateurs, lesquels composent 44 % des « marchandises » disponibles sur les serveurs des cybercrimels et qui sont revendues au niveau de cette économie souterraine. À elles seules, les coordonnées bancaires totalisent 22 % des « marchandises » commercialisées de la sorte; leur prix de détail peut atteindre 1 000 $, versus 20 $ pour un numéro de carte de crédit. « Les numéros de compte bancaire sont en première position, car ils durent plus longtemps que les numéros de carte de crédit », explique M. Turner.
Conséquemment, le nombre d’attaques visant les systèmes bancaires est en hausse. Par exemple, Symantec a décelé une augmentation de 86 % des infections potentielles des systèmes bancaires par des chevaux de Troie par rapport au premier semestre de 2007.
En outre, l’économie cybercriminelle a recours, dans une certaine mesure, aux mêmes pratiques que les économies plus traditionnelles, telles que la spécialisation, la sous-traitance, l’externalisation et la tarification à plusieurs variables, ce qui confirme encore une fois sa maturité. On assiste ainsi à la mise en place de réseaux internationaux permettant de mieux coordonner les activités malveillantes à l’échelle mondiale, lequel phénomène s’accompagne de la concentration de certaines activités dans certaines parties du monde. C’est dans cette perspective, par exemple, qu’une proportion très substantielle des attaques par hameçonnage (phishing) sont perpétrées à partir de la Chine et la Roumanie.
« Les pays en développement attirent l’attention en raison des lacunes de la législation locale et de l’importance de la bande passante qui y est disponible, vu qu’il y a peu de foyers branchés, explique M. Turner. Les ordinateurs branchés sont principalement dans les cafés Internet qui constituent un terreau fertile en codes malicieux. »
Et la quantité de programmes malveillants produits mondialement ne cesse d’augmenter. Au terme de la période considérée par l’étude, Symantec a en effet décelé une augmentation de 136 % de ceux-ci par rapport à la période précédente, ayant totalisé 499 811 nouveaux programmes à la fin du dernier semestre de 2007. Comparée à la même période un an plus tôt, l’augmentation est de 571 %!
C’est grâce au caractère lucratif de leurs activités que les organisations cybercriminelles sont en mesure d’afficher une telle productivité. Ces revenus sont réinvestis dans la fabrication de programmes malveillants. Il existe, en outre, des ensembles (kits) facilitant la création de sites Web d’hameçonnage pastichant les sites officiels, ce qui contribue à accroître la productivité des programmeurs.
Les pays développés comme cible
Si les programmes malveillants trouvent leur source dans les économies émergentes, ce sont les pays plus développés qui en paient les frais. C’est dans cette perspective que les États-Unis occupent le haut du pavé, totalisant à eux seuls 31 % des activités cybercriminelles de par le monde. Avec une part de 7 % chacun, la Chine et l’Allemagne occupent les deuxième et troisième places, suivis du Royaume-Uni, de l’Espagne et de la France, avec chacun une part évaluée à 4 %. Le Canada suit en septième position, avec une part de 3 %. Lors du précédent classement, le Canada occupait la sixième position.
Au niveau spécifique des attaques par hameçonnage, le Canada occupe le huitième rang, avec une maigre part de 1 %. Encore une fois, la grosse part du gâteau revient aux États-Unis, qui accaparent 66 % de l’activité criminelle mondiale, suivis de la Chine (14 %) et de la Roumanie (5 %).
Au niveau canadien, cette fois, c’est sans grande surprise qu’on apprend que Toronto regroupe la majeure partie des ordinateurs infectés par robot, soit 20 %, suivi de Montréal (9 %) et de Calgary (8 %). En moyenne, il y avait chaque jour 7 344 ordinateurs infectés de la sorte au pays.
En outre, les ordinateurs desservis par les services d’accès Internet de Bell Canada étaient la principale cible des pirates au deuxième semestre de 2007, alors qu’ils représentaient 17 % de toute l’activité malicieuse ayant cours au Canada, suivis des ordinateurs desservis par Shaw Communications (16 %). Vidéotron ne figure pas dans le tableau de Symantec, ce qui sous-entend que les ordinateurs ayant une adresse IP attribuée par ce fournisseur sont la cible de moins de 2 % de l’activité criminelle canadienne.
« Rogers, qui est le troisième fournisseur au pays, est juste à la neuvième position (3 %), car ils bloquent le mauvais trafic qui ralentit tout le monde, ce que Shaw ne fait pas. Le filtrage du trafic est la solution », affirme Dean Turner.
Finalement, on apprend aussi, dans le rapport de Symantec, que 40 % des programmes malveillants sont transmis par des unités mobiles de stockage et de partage d’informations, telles que les clés USB, ce qui nous ramène à l’époque des disquettes souples, et que 32 % des programmes sont transmis par courriel. En comparaison, les unités mobiles n’étaient responsables que de 14 % des infections au premier semestre de 2007.
« Cela est d’autant plus préoccupant que 43 % des entreprises n’ont mis en place aucune mesure pour protéger les unités amovibles, déplore M. Turner. Comme les fabricants sous-traitent une partie de la production, la contamination a parfois lieu chez le sous-traitant dont les ordinateurs sont infectés. »
Les données compilées par Symantec proviennent de plus de 40 000 réseaux de surveillance, déployés dans plus de 180 pays.
Alain Beaulieu est adjoint au rédacteur en chef au magazine Direction informatique.
À lire aussi cette semaine: Un Montréalais à la tête de Novell Canada Des contrats, des acquisitions et un partenariat pour des fournisseurs québécois L’actualité des TI en bref Le plan de match de Google Des « gratteux » inspirés du iPod