Sécurité informatique : Le cybercrime attaque les mondes virtuels
Pour Pascal Lointier, président du Clusif, l’extension des actes de malveillance aux univers virtuels et aux réseaux sociaux est la grande nouveauté de l’année 2007. © Tanguy Cadieu / Naja
Un cybercrime de mieux en mieux organisé et dont les attaques sont de plus en plus sophistiquées, des actes de malveillance qui touchent désormais les mondes virtuels (vol, cyber-pédophilie, esclavage…) ainsi que les réseaux sociaux…voilà les grands enseignements du « panorama de la cybercriminalité 2007 », présenté hier par le Club de la sécurité de l’information français (Clusif).
Quelles ont été les grandes tendances de la cybercriminalité en 2007 ? « Une sophistication croissante des attaques, et l’extension des actes de malveillance à deux nouveaux univers : les mondes virtuels et les réseaux sociaux », révèle Pascal Lointier, président du Club de la sécurité de l’information français (Clusif). Réunissant des experts en délinquance informatique et électronique privés (éditeurs d’anti-virus, opérateurs téléphoniques, assureurs…) et publics (Gendarmerie, Police Judiciaire…), le Clusif publie tous les ans un panorama de la cybercriminalité révélateur des tendances lourdes et des phénomènes émergents en la matière. Comme l’année précédente, le Clusif relève que 2007 a été marquée par une professionnalisation croissante des actes cybercriminels, ce qui tend à démontrer que la malveillance informatique est largement passée de l’acte gratuit et individuel au crime lucratif orchestré par des organisations « mafieuses ».
Un exemple parmi d’autres du renforcement de cette tendance en 2007 : la découverte d’un véritable commerce en ligne de logiciels malveillants russes, les « MPack ».
« Commercialisés entre 700 et 1000 $, ils permettent d’infecter et de prendre le contrôle de l’ordinateur de l’internaute qui a été dirigé à son insu vers un site malveillant. Ce qui est incroyable, c’est que ces logiciels redoutables sont vendus comme n’importe quel produit informatique, accompagnés de leurs statistiques respectives en terme d’« efficacité », c’est-à-dire leur taux d’infection, et qu’ils peuvent être faits sur mesure à la demande des acheteurs », explique Franck Veysset, expert en sécurité informatique chez Orange.
"1,5 million de dollars changent de main tous les jours sur Second Life"
Mais la vraie nouveauté 2007 du cybercrime, c’est qu’il s’en prend désormais à l’argent et aux biens « virtuels » qui ont cours dans les jeux en ligne du type « Second Life » ou « World of Warcraft ».
« Pour vivre dans ces univers et s’acheter des biens, des sorts, ou des personnages plus puissants, il faut de l’argent virtuel. Mais ces monnaies fictives ont un taux de change en dollars ou en euros, et 1,5 million de dollars changent de main tous les jours sur Second Life. Or, l’argent attire nécessairement la malveillance », prévient François Paget, chercheur anti-virus chez McAfee.
De fait, 2007 a été marquée par l’apparition de nouveaux délits spécifiques aux mondes virtuels, tels que les vols de mots de passe permettant d’accéder à ces univers, ou les vols de biens « virtuels » par des techniques de « phishing »(1).
Autre dérive constatée en 2007, « le développement du commerce sexuel et, plus grave, des réseaux de pédophilie virtuelle sur Second Life », alerte François Paget. Et ce n’est pas tout. Les univers en ligne ont aussi donné naissance en Asie à une nouvelle forme d’esclavage, bien réel celui-là : le « Gold farming ».
« Douze heures par jour, sept jours sur sept, de jeunes chinois amassent des richesses virtuelles en « jouant » en ligne. Ces richesses, ou "gold", sont ensuite transférées à des « courtiers » qui les revendent en dessous des cours officiels aux joueurs occidentaux, avides de se procurer à moindre frais des fonds, des sorts puissants, voire des personnages de haut niveau », précise François Paget.
"Avoir un anti-virus peut ne pas suffire, il faut aussi être vigilant."
Les univers virtuels n’ont pas été les seuls à faire les frais en 2007 de l’imagination sans borne des cybercriminels.
Les réseaux sociaux (Facebook, Myspace, Copainsdavant…) ont également été victimes de leur succès. « Des sociétés pornographiques ont réussi à accéder sur Facebook aux profils individuels très complets de nombreux inscrits, et notamment à leurs listes de contacts. Ca leur a sans doute permis d’envoyer des spams à des millions de nouveaux destinataires », explique Danielle Kaminsky, chercheur en criminalité informatique.
Malgré ces nouveautés, le cybercrime a largement misé en 2007 sur les valeurs sûres de la malveillance informatique et électronique que sont le phishing et le piratage de cartes bancaires.
D’ailleurs, « il existe des sites ultra-sécurisés où l’on peut acheter et vendre des données bancaires piratées, et même bénéficier des conseils de professionnels du crime, comme si on était sur un forum de cuisine. L’imagination et l’organisation des cybercriminels nous donnent beaucoup de fil à retordre », reconnaît Fabien Lang, commissaire à la Police Judiciaire.
Est-ce à dire que naviguer sur Internet serait devenu une aventure périlleuse ? « Avoir un anti-virus peut ne pas suffire, il faut aussi être vigilant. Sans tomber dans la paranoïa, n’entreprenez pas sur le Net des démarches que vous ne feriez pas dans la vie de tous les jours. Si on vous propose d’acheter pour 5000 euros en ligne une BMW neuve à condition que vous envoyiez 80 % de cette somme sous forme d’avance, réfléchissez y à deux fois », conseille Pascal Lointier.
Un exemple parmi d’autres du renforcement de cette tendance en 2007 : la découverte d’un véritable commerce en ligne de logiciels malveillants russes, les « MPack ».
« Commercialisés entre 700 et 1000 $, ils permettent d’infecter et de prendre le contrôle de l’ordinateur de l’internaute qui a été dirigé à son insu vers un site malveillant. Ce qui est incroyable, c’est que ces logiciels redoutables sont vendus comme n’importe quel produit informatique, accompagnés de leurs statistiques respectives en terme d’« efficacité », c’est-à-dire leur taux d’infection, et qu’ils peuvent être faits sur mesure à la demande des acheteurs », explique Franck Veysset, expert en sécurité informatique chez Orange.
"1,5 million de dollars changent de main tous les jours sur Second Life"
Mais la vraie nouveauté 2007 du cybercrime, c’est qu’il s’en prend désormais à l’argent et aux biens « virtuels » qui ont cours dans les jeux en ligne du type « Second Life » ou « World of Warcraft ».
« Pour vivre dans ces univers et s’acheter des biens, des sorts, ou des personnages plus puissants, il faut de l’argent virtuel. Mais ces monnaies fictives ont un taux de change en dollars ou en euros, et 1,5 million de dollars changent de main tous les jours sur Second Life. Or, l’argent attire nécessairement la malveillance », prévient François Paget, chercheur anti-virus chez McAfee.
De fait, 2007 a été marquée par l’apparition de nouveaux délits spécifiques aux mondes virtuels, tels que les vols de mots de passe permettant d’accéder à ces univers, ou les vols de biens « virtuels » par des techniques de « phishing »(1).
Autre dérive constatée en 2007, « le développement du commerce sexuel et, plus grave, des réseaux de pédophilie virtuelle sur Second Life », alerte François Paget. Et ce n’est pas tout. Les univers en ligne ont aussi donné naissance en Asie à une nouvelle forme d’esclavage, bien réel celui-là : le « Gold farming ».
« Douze heures par jour, sept jours sur sept, de jeunes chinois amassent des richesses virtuelles en « jouant » en ligne. Ces richesses, ou "gold", sont ensuite transférées à des « courtiers » qui les revendent en dessous des cours officiels aux joueurs occidentaux, avides de se procurer à moindre frais des fonds, des sorts puissants, voire des personnages de haut niveau », précise François Paget.
"Avoir un anti-virus peut ne pas suffire, il faut aussi être vigilant."
Les univers virtuels n’ont pas été les seuls à faire les frais en 2007 de l’imagination sans borne des cybercriminels.
Les réseaux sociaux (Facebook, Myspace, Copainsdavant…) ont également été victimes de leur succès. « Des sociétés pornographiques ont réussi à accéder sur Facebook aux profils individuels très complets de nombreux inscrits, et notamment à leurs listes de contacts. Ca leur a sans doute permis d’envoyer des spams à des millions de nouveaux destinataires », explique Danielle Kaminsky, chercheur en criminalité informatique.
Malgré ces nouveautés, le cybercrime a largement misé en 2007 sur les valeurs sûres de la malveillance informatique et électronique que sont le phishing et le piratage de cartes bancaires.
D’ailleurs, « il existe des sites ultra-sécurisés où l’on peut acheter et vendre des données bancaires piratées, et même bénéficier des conseils de professionnels du crime, comme si on était sur un forum de cuisine. L’imagination et l’organisation des cybercriminels nous donnent beaucoup de fil à retordre », reconnaît Fabien Lang, commissaire à la Police Judiciaire.
Est-ce à dire que naviguer sur Internet serait devenu une aventure périlleuse ? « Avoir un anti-virus peut ne pas suffire, il faut aussi être vigilant. Sans tomber dans la paranoïa, n’entreprenez pas sur le Net des démarches que vous ne feriez pas dans la vie de tous les jours. Si on vous propose d’acheter pour 5000 euros en ligne une BMW neuve à condition que vous envoyiez 80 % de cette somme sous forme d’avance, réfléchissez y à deux fois », conseille Pascal Lointier.
19 janvier 2008, William Bolle
(1) Phishing (« hameçonnage »). Procédé qui consiste à extorquer des informations confidentielles (mots de passe, coordonnées bancaires) par le biais de courriels ou de sites contrefaits (de vente en ligne, de banques…) ayant toutes les apparences de l’original.
Partager cet article
Pour être informé des derniers articles, inscrivez vous :
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/http%3A%2F%2Fwww.emarketer.com%2Fimages%2Fchart_gifs%2F137001-138000%2F137159.gif)
/http%3A%2F%2Fwww.emarketer.com%2Fimages%2Fchart_gifs%2F132001-133000%2F132426.gif)
/http%3A%2F%2Fwww.marketing-professionnel.fr%2Fwp-content%2Fuploads%2F2011%2F10%2Fentreprises-cac-40-corporate-reseaux-sociaux.jpg)
Commenter cet article
