Kasperky : « le cybercrime est facile, sûr et paie bien »

Selon les spécialistes de protection contre les logiciels malveillants – malware – de Kaspersky, la cybercriminalité pourrait, à minima rapporter, mondialement 100 Md$ par an. Costin Raiu, expert en chef de l’éditeur, estime par exemple que le seul marché de l’envoi de pourriels pèse 200 M$ en Russie. Une paille, mais un maillon de l’édifice : « c’est un écosystème complet dans lequel tout type de criminel a un rôle à jouer.

Par exemple, un développeur propose un malware lequel, à son tour, collecte les données de cartes de crédits. Données qui seront revendues et utilisées par des spécialistes de la production de fausses cartes de crédit, etc. » La diffusion du malware peut être assurée par un botnet, un réseau de PC infectés par un virus contrôlé à distance par son auteur : « ils achètent des ressources à des opérateurs de botnet. Dont le développement peut avoir été délocalisé en Chine. […] Le packaging séduisant du pourriel est alors réalisé aux Etats-Unis. » Une mécanique bien huilée, en somme.

Des limites technologiques… difficiles à contrôler Mais qui a ses limites. Technologiques, d’abord : «  tous les malwares actuels sont finalement assez comparables dans la mesure où ils peuvent être adaptés à faire n’importe quoi : envoi de pourriels, enregistrement de frappe clavier [ keylogger, NDLR], attaque par déni de services, etc. » Un bon moyen de maximiser les revenus à retirer, potentiellement, d’un simple malware.

Denis Maslennikov, analyste senior Kaspersky, en charge de la mobilité

Mais ces limites ont des airs de front mobile. Et les défenses de ligne Maginot. Pour Costin Raiu comme pour Eugene Kasperksy (le co-fondateur de l'éditeur), le problème est simple : « le cybercrime est facile, rentable et peu risqué. » Pour eux, il faut intervenir sur les trois composantes de cette équation. Problème, comme le souligne Denis Maslennikov, analyste senior chez Kasperky et spécialiste des menaces mobiles, « le logiciel est écrit par des humains ; il est faillible par construction. »

Et là, rien ne va plus : selon Costin Raiu, il est bien sûr possible de produire du code très sûr, « mais c’est au prix de l’utilisabilité et des possibilités de développement. VMS, par exemple, était un système très sûr. Mais il était tellement dur d’en tirer quoi que ce soit qu’il est mort. » Eugène Kaspersky évoque de son côté Symbian 9, qui aurait fait fuir les développeurs parce que… trop sûr. Du coup, pour l’heure, la stratégie est simple : on empile les couches de défense. « Pendant des années, on s’est contenté d’un anti-virus. Puis on a ajouté une liste blanche d’applications. Maintenant, un intègre un bac à sable [ sandbox, en anglais] pour faire tourner les applications suspectes, etc. On élargit et on approfondit les douves autour des murs d’enceinte. Mais le combat n’est toujours pas équitable. »

Eugène Karskerky

Reste que, selon Costin Raiu, « parfois, le code fournit justement des indices sur son auteur. » La solution, pour lui, « c’est de rendre le forfait moins rentable. » Et de pointer la coopération internationale entre forces de l’ordre.