Selon les experts de RSA, une firme crédible en matière de sécurité informatique, si 2010 a été une année difficile, on n’a rien vu encore. Quand on lira le rapport pour 2011, on blanchira. À moins, bien sûr, qu’étant devenu blasé par la surabondance de l’info, on s’en fiche…
Avec la prolifération débridée de l’information, les effets visuels à la James Cameron, la science-fiction techno à la Millenium et la géopolitique proche de l’apocalyptique Armageddon, la voix des oracles parlant de sécurité informatique est un peu perdue dans le décor. On les écoute et on sait qu’il n’y a pas si longtemps, on a déjà « vu-lu-entendu » ailleurs quelque chose de plus épouvantable ou de plus excitant. Ce qui signifie qu’en 2011, on est un peu blasé.
C’est comme pour les problèmes environnementaux actuels : la plupart des gens sont d’avis que la situation est terrible, mais bof, ils estiment ne pas pouvoir y changer grand-chose. Pendant ce temps-là, Canadian Tire, pour ne nommer que cette grande surface, continue de vendre de l’herbicide toxique (vous connaissez le Round Up de Monsanto ?) et les ennemis du pissenlit, du plantain ou du tussilage d’en acheter.
Prenez ce récent rapport de la société américaine RSA, The Current State of Cybercrime and What to Expect in 2011. On le lit et on a presque des frissons. Le pire, c’est qu’il n’est même pas alarmiste. Il se contente d’expliquer dans le détail ce qui est en train de se passer et il nous informe sur ce qui, normalement, frappera les pays riches durant l’année 2011. On peut vouloir le valider, aller vérifier ses conclusions ailleurs (par exemple chez Symantec) tellement ça nous paraît gros, mais ce qu’on découvre concorde. On en parle alors à sa (son) conjoint(e), lequel (laquelle) opine sur la gravité de la situation, et on passe à autre chose. C’est pour cela qu’on a TweetDeck d’ouvert en permanence dans son ordi !
Et qu’a-t-on lu ? Que si 2010 avait été éprouvante compte tenu des nouvelles menaces et de leur sophistication sans précédent (Aurora, GhostNet, Stuxnet), 2011 sera, en comparaison, une annus horribilis. Elle passera peut-être à l’histoire comme ayant été le début de la vraie cybermisère, le début de la décennie où les grands criminels, les espions et les terroristes auront mis en pratique ce qu’ils auront appris et testé dans les années précédentes.
À la lecture du document de RSA, on comprend que le remugle interlope chemine de plus en plus sur deux voix distinctes quant aux objectifs de malfaisance. D’un côté les escrocs à la petite semaine, ceux qui veulent nous voler 345 $ dans notre compte Desjardins, qui veulent nos NIP et numéros de cartes pour les utiliser eux-mêmes ou les revendre dans un lot, ou qui veulent nous arnaquer sous prétexte qu’on est mal protégé. D’un autre, les hommes de l’ombre qui s’en prennent aux ordis gouvernementaux ou à ceux de la grande entreprise, ce qui constitue le phénomène de l’Advanced Persistent Threat (menace évoluée permanente).
Les premiers se servent d’outils simples, faciles à se procurer sur le marché public de la cybercriminalité, p. ex. des réseaux zombies (botnets) et s’attendent à des résultats quotidiens. La ressource humaine est abondante, les outils connus, les résultats garantis et le danger très faible.
Les seconds utilisent des systèmes complexes nécessitant une collaboration multidisciplinaire (experts en rootkits, en Distributed Denial of Service, en systèmes d’exploitation, en langage et infrastructure Web, etc.) et suivent des planifications s’évaluant en termes de mois, voire d’années.
Systèmes complexes ? RSA parle de deux produits qui, à ce jour, ont contrôlé l’essentiel du marché des commodités cybercriminelles, soit Zeus, une valeur sûre, et SpyEye, un système modulaire apparu en 2010 (la description de ces gros logiciels est disponible aux pages 4 et 5 du document de RSA). À lui seul, Zeus serait responsable de 90 % des fraudes bancaires sur la planète.
Or, leurs proprios, MM. Herderman et Slavik, ont récemment décidé de les fusionner, ce qui, croit-on, offrira au marché un puissant logiciel capable de se rendre très loin dans les grands serveurs quel que soit le système d’exploitation. L’effet de ce quasi-monopole laisse croire que de nouveaux logiciels malveillants de cette envergure pourront bientôt apparaître en se signalant à la communauté par quelques gestes d’éclat. Ils viendront s’ajouter aux produits moins connus actuellement disponibles sur le marché.
C’est le cas de Stuxnet, un méga-logiciel que l’on soupçonne d’avoir tenu un rôle dans les difficultés nucléaires iraniennes. Mais c’est aussi celui de produits plus modestes comme Qakbot, dont le fait d’armes le plus médiatisé a été d’avoir craqué le système de santé britannique, Chilkat, à qui l’on doit le vol de 1,6 million de crédits européens de CO2, ou encore le produit chinois Lamp (1), le seul qui serait capable de rechercher, reconnaître et copier des documents MS Office. Enfin, il y a tous ces Syscron, Bancos et autres Minicker qui s’en tiennent aux banques et à leurs millions.
Et ce n’est pas tout : RSA s’attend également à une augmentation de tout le reste, incluant les tentatives d’hameçonnage, de l’hameçonnage de mieux en mieux conçu et de plus en plus centré vers le secteur mobile et à celui des réseaux sociaux.
À lui seul, le « mobile » est une poule aux oeufs d’or. C’est un marché prodigieux où, estime la firme de recherche IDC, il y aura 25 milliards de téléchargements d’applications en 2011. Majoritairement, les usagers de bidules mobiles croient que rien ne peut leur arriver de néfaste, perspective qui ne concerne que leur machine Windows. D’où la récente prolifération du « Smishing » (SMS Phishing). Les malfaiteurs savent que les premiers arrivés sur un nouveau site frauduleux sont toujours des utilisateurs mobiles, surtout des proprios de iPhone (dixit RSA).
Quant aux réseaux sociaux, l’effort criminel est aussi remarquable, à plus forte raison qu’on y retrouve deux agents facilitateurs : primo, il y a le fait qu’une partie de la clientèle, possiblement la plus jeune, ne s’intéresse absolument pas aux questions de sécurité informatique ; secundo, il y a une conviction que des amis ne peuvent suggérer de sites malveillants ou induire des arnaques. Alors, on tend à croire au texto qui nous annonce le paradis à la fin de nos jours. Pire, dans les deux cas, on ne comprend pas les enjeux; on croit que le pire sera de devoir « réinitialiser son téléphone ».
En un mot, RSA estime que l’informatique interlope est très dynamique. Les gens y sont compétents, ils connaissent tous les trucs, ils travaillent très fort et ils sont capables de s’ajuster très rapidement. Tellement que dans le cadre d’une organisation où des équipes avaient mis des mois à mettre en place une défense sérieuse, les malfaiteurs n’ont eu besoin que de quatre heures pour tout déjouer. À ce rythme, j’ai peine à imaginer 2012 !
Mais bon, je suis journaliste, passons maintenant à une autre histoire. Tiens, justement, voici la version 12 de Chrome, le iCloud d’Apple, la PS Vita de Sony… Oh, merci Twitter !
(1) Ne pas confondre avec Aurora ou GhostNet, d’autres produits présumément chinois qui semblent servir au cyberespionnage. Le premier s’est infiltré à l’automne 2009 dans les ordis de Google, Symantec, Adobe, Juniper, Dow Chemical, Morgan Stanley, etc., le second (notamment) dans ceux de plusieurs ministères canadiens en début de 2011.
Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.
Pour consulter l’édition numérique du magazine de mai de Direction informatique, cliquez ici