La cybercriminalité devient un business à part entière

Les spécialistes de la sécurité semblent s’accorder aujourd’hui pour relever que « les attaques par Internet sont organisées et conçues pour voler de l’information et des ressources aux particuliers et aux entreprises, » comme le souligne Sophos dans son rapport annuel sur les menaces informatiques. Les cybercriminels seraient mus par une simple motivation : l’argent. Selon Symantec, 24 % des demandes des « clients » des pirates porteraient en effet sur des informations détaillées relatives à des cartes de crédit, et 18 % sur des informations relatives à des comptes bancaires.

Ca, c’est pour la demande. Du côté de l’offre, les prix s'étagent entre 10 et 1 000 $ pour l’accès à des comptes en banque sur Internet – des tarifs qui varient en fonction des montants disponibles sur les comptes… -, contre 0,5 à 12 $ pour des numéros de cartes de crédit avec le code de vérification CVV2, dans le cadre de lots de 5 à 500 cartes. Le niveau d’organisation serait tel que les canaux IRC – des salons de discussion en messagerie instantanée - utilisés pour les échanges entre cybercriminels intègreraient des bots, des automates, chargés de la vérification des détails des cartes de crédit. Entre juillet 2007 et juin 2008, Symantec estime à 276 M$ le « chiffre d’affaires » de la vente de données personnelles par des cybercriminels. Ce montant n’intègre pas les bénéfices réalisés par les acheteurs de ces données ; ceux-ci sont estimés par l’éditeur à 7 Md$ pour les cartes de crédit et données bancaires.

Des proportions « astronomiques »

Des sommes pareilles ont forcément de quoi susciter des vocations. Et, clairement, la cybercriminalité semble bien se porter. Sophos indique ainsi découvrir une nouvelle page Web infectée toutes les 4,5 secondes. Et 20 000 nouveaux échantillons de code suspect par jour. Un courriel sur 714 (contre 909 en 2007 et 337 en 2006) contiendrait un maliciel.

Et c’est sans compter avec les botnets, ces réseaux d’ordinateurs personnels infectés et, souvent, contrôlés par des cybercriminels. F-Secure se garde bien d’avancer une estimation précise du nombre d’ordinateurs potentiellement concernés. Mais, s’appuyant sur les déclarations d’un FAI finlandais, l’éditeur se livre à un rapide calcul : 1 % des ordinateurs connectés à Internet pourraient être des « bots », soit 12 millions de machines. F-Secure précise néanmoins qu’il existe des botnets – réseaux de bots – orphelins, qui ne sont (plus) contrôlés par personne.

[Retrouvez les commentaires de Brian Sartyn, directeur des équipes d'investigation de Verizon Business Security Solutions]

Symantec précise que les botnets sont principalement utilisés pour des attaques par déni de service, de l’envoi de pourriels ou des campagnes d’hameçonnage. Compter 225 $ en moyenne pour un réseau de bots flambant neuf, parfaitement opérationnel. Et ces réseaux semblent promis à un bel avenir : selon Secunia, seuls 1,9 % des ordinateurs personnels dans le monde bénéficient de tous les correctifs de sécurité proposés par les éditeurs des logiciels installés .

Injection SQL : compter 63 $ pour un outil

Pour Sophos, le Web est le premier vecteur de diffusion des logiciels malveillants : « les cybercriminels installent du code malveillant sur des sites innocents », indique ainsi l’éditeur. Et d’expliquer ce déplacement par la sécurisation grandissante des serveurs de messagerie électronique dans les organisations. Pour s’en prendre à d’innocents sites Web, les pirates exploitent notamment la technique dite d’injection SQL, qui consiste à profiter d’un script de recueil de données mal filtré pour enregistrer du code malveillant dans la base de données. Pour un outil d’injection SQL, il faut prévoir environ 63 $ en moyenne, selon Symantec.

Autre méthode : l’insertion de commentaires, dans des blogs, contenant des liens vers des sites infectés. Sites à partir desquels peut être téléchargé un malware dissimulé derrière l’invitation à télécharger un codec ou un lecteur vidéo. Cette façon d’hameçonner les internautes fonctionne aussi à partir de pourriels – 10 $ l’outil de production de pourriels, en moyenne, selon Symantec, et 6 $ le Mo d’adresses e-mail. Et les cybercriminels n’hésitent pas à jouer avec une ironie toute malveillante de la peur qu’ils génèrent en proposant de faux anti-virus. Cette pratique dite du « scareware » - le logiciel de la peur, en français – générerait 5 000 courriels par jour, selon Sophos.

Mais l’éditeur pointe aussi les réseaux sociaux, à commencer par Facebook, comme vecteur de diffusion de liens malveillants, via des comptes d’utilisateurs détournés.

Selon Sophos, 37 % des sites Web vérolés se trouvent aux Etats-Unis. Contre 27,7 % pour la Chine et Hong Kong et 9,1 % pour la Russie. Mais c’est d’Asie que viennent l’essentiel des pourriels, à 36,6 %.

Mac OS ciblé, demain les terminaux mobiles

Dans son étude, Sophos pointe les mécanismes de filtrage mis en place par certaines organisations. Des utilisateurs, désireux de contourner ce filtrage, peuvent avoir recours à des serveurs mandataires ouverts. Problème : certains de ces serveurs peuvent être infectés et réduisent à néant les efforts de protection du SI par filtrage des accès Web.

Surtout, pour Sophos, les cybercriminels étendent de plus en plus leur terrain de jeu au-delà des environnements Windows. L’éditeur estime que leur intérêt commence à se renforcer pour Mac OS X. F-Secure insiste quant à lui sur l’apparition de chevaux de Troie pour la plate-forme d’Apple, courant 2008.

Plus globalement, les cybercriminels semblent intéressés par les approches multi-plates-formes. Flash et les fichiers PDF feraient l’objet de recherches chez les pirates. Mais le simple et traditionnel hameçonnage par pourriel et site Web frauduleux est déjà parfaitement multi-plate-forme.

Sophos et F-Secure s’attendent, pour 2009, au développement des botnets et au renforcement de l’attention portée par les cybercriminels aux terminaux mobiles, iPhone et Android en tête.