Le Clusif présente son panorama 2005 de la cybercriminalité

Par Jerome Saiz, le 14 jan 2006 à 17:11:00.

Expansion de l'économie souterraine, persistance de l'espionnage industriel, vol d'identité et violences physiques : le Clusif présente les résultats de sa synthèse 2005 de la cybercriminalité. Une lecture passionnante, non seulement pour faire le point sur les tendances de l'année écoulée, mais aussi pour jeter un oeil à celles de 2006.

L'édition 2005 du Panorama de la Cybercriminalité du Clusif est un bon cru. Comme à son habitude, l'association base ses observations sur des affaires rendues publiques durant l'année écoulée. Mais l'exercice pourrait tout aussi bien servir à identifier quelques tendances fortes pour l'année à venir.
Premier constat : l'expansion de l'économie souterraine. On savait bien sûr déjà que les bas-fonds du web se professionnalisaient (le Clusif le notait dans son panorama 2002 et le confirmait dans celui de 2003). Mais aujourd'hui, le "marché" semble mûr : l'installation forcée de logiciels publicitaires, les réseaux d'ordinateurs zombies en location et le business des spammeurs sont des pratiques bien installées dans le paysage. Le Clusif donne une idée des tarifs en vigueur dans ce milieu : de 0,05 à 0,50 dollar par installation d'un adware (logiciel publicitaire) sur le PC d'un internaute. Dans le cadre d'une affaire citée par l'association, plusieurs individus accusés d'installer de tels logiciels sans la permission des utilisateurs ont reconnus avoir gagné en moyenne 22.000 dollars en un mois (et tout ceci n'est pas grand chose comparé au trésor de guerre régulièrement saisi chez certains spammeurs).

Ces adwares sont généralement installés à l'insu des internautes à l'aide de failles de sécurité (telle la dernière en date pour Windows), ou au moment de l'installation d'un logiciel gratuit.
Mais ils ne sont plus les seuls à débarquer sur les PC sans y être invités : les escrocs privilégient désormais le déploiement de bots, beaucoup plus rentables. Ces outils de prise de contrôle permettent d'assembler une armée de PC zombies exploitables à loisir à l'insu de leurs propriétaires. Là encore, le Clusif cite quelques affaires révélées dans l'année, notamment la découverte de réseaux composés de quelques milliers à quelques dizaines de milliers de PC (voire peut-être un million et demi pour l'un d'eux).
De tels réseaux sont généralement loués (pour envoyer du spam, par exemple), servent à installer des adwares de manière industrielle ou encore à mener des attaques par déni de service contre des sites web, après rançon.

Espionnage industriel et vol de données

Autre point notable que relève le Clusif : la recrudescence, dans l'actualité, d'affaires d'espionnage industriel. L'association précise bien que la pratique n'a rien de nouveau, mais 2005 aura permis de découvrir plusieurs affaires importantes dans le domaine. Qu'il s'agisse du vol de code source (le fabriquant Ericsson), de données (l'affaire Valeo, dont l'instruction est cependant toujours en cours) ou d'infiltration à la "Mission Impossible" (l'affaire de la banque Sumitomo ou celle du cheval de Troie Israélien), les entreprises sont ici visées de manière délibérée, contrairement aux attaques opportunistes habituelles.
Enfin, le Clusif note aussi que 2005 aura révélé de très nombreuses affaires de vol d'identités (dont bien sûr celle de la société Cardsystems). Conséquence de l'obligation faite aux entreprises américaines de signaler chaque vol, ou simple recrudescence de ces fautes, une chose est certaine en tout cas : la pratique est particulièrement détestable pour les victimes, qui mettent généralement plusieurs années à "laver" leur identité lorsque celle-ci est utilisée pour commettre des délits.

• 1
• 2
• » Suivant

Plus d'information

• Téléchargez le panorma 2005 de la Cybercriminalité (en français)

A voir aussi

• Le panorama de la cyber-criminalité en 2002. (17 jan 2003)
• Une agence européenne contre la cybercriminalité. (11 fév 2003)
• L'Europe soigne ses lois contre la cyber-criminalité. (28 avril 2002)
• La cyber-criminalité en 2004 : place aux profits. (18 jan 2005)
• Le traité sur la cyber criminalité adopté par trente pays. (26 nov 2001)