Virus et arnaques : l'état des lieux avec Mikko Hypponen, F-Secure

Helsinki, en Finlande. Ses nuits jamais vraiment noires, sa viande de renne aux airelles, Linux, et Mikko Hypponen. C'est au siège de l'éditeur F-Secure que nous avons rencontré le gourou de l'antivirus Finlandais. Aux côtés d'Eugene Kaspersky (Kaspersky Labs) ou de Graham Cluley (Sophos), Mikko Hypponen fait partie de ces quelques figures historiques du petit monde de l'antivirus. Le rencontrer permet de faire le point sur la menace virale aujourd'hui : quelle est-elle, qu'est-ce qui est à la mode ? Quelles attaques sont particulièrement en vogue ?

Premier constat, et ce n'est guère une surprise : le vol de données personnelles fait partie des meubles : "C'est devenu une fonctionnalité standard chez tous les codes malicieux que nous recevons aujourd'hui. Quoi qu'il fasse ensuite, le virus commence par explorer tous les fichiers, fouiller tout le disque dur, afin de récupérer notamment les adresses emails et les numéros de sécurité sociale américains qu'il peut trouver".

Mais là où l'on s'attendrait à ce que le pillage se limite aux données généralement perçues comme confidentielles (les numéros de carte bancaires par exemple), les criminels semblent avoir étendu le spectre de leurs activités à des informations moins évidentes. "Nous découvrons chaque mois des centaines de nouveaux chevaux de Troie destinés à voler les identifiants de jeux en ligne, essentiellement World of Warcraft ou Lineage", poursuit Mikko Hypponen. La pratique n'est certes pas récente mais le volume des codes malicieux spécialisés dans le vol d'identifiants de jeu en ligne est désormais quasi-industriel. Les nombreux joueurs à s'être faits dépouiller leur personnage comprennent ainsi mieux comment cela a pu leur arriver (qui a dit "Internet Explorer n'était pas à jour ?)".

Plus original en revanche, le poker en ligne fait son apparition parmi les cibles favorites des pirates. F-Secure note ainsi l'arrivée de chevaux de Troie destinés à dérober spécifiquement les identifiants des comptes de poker en ligne. "Le pirate se connecte ensuite à la place du joueur. Il entame une partie contre lui-même via un autre compte qu'il a créé. Bien sûr il joue très mal avec le compte de sa victime, et il la plume donc rapidement. Il lui suffit ensuite de solder l'autre compte et le tour est joué", détaille Mikko Hypponen. Et bien entendu, lorsque la victime viendra se plaindre, tout ce que le site de jeu en ligne verra c'est qu'elle a joué contre un adversaire et qu'elle a perdu. Imparable.

Le phishing 2.0

Si le phishing est désormais une pratique bien connue, Mikko Hypponen en voit apparaître une variante beaucoup plus sournoise basée sur le principe de l'Homme du Milieu (Man-in-the-middle). "Lorsque l'utilisateur arrive sur la fausse page d'accueil de sa banque et entre son identifiant et son mot de passe, le site de phishing les utilise d'abord pour se connecter à sa place sur le vrai site de la banque. Cela lui permet d'extraire des informations personnelles du code HTML de la page, telles que le vrai nom de l'utilisateur, les derniers chiffres du numéro de sa carte bleue, etc... Grâce à ces informations, le serveur pirate construit alors une fausse page de confirmation. Cette dernière demande par exemple de compléter le numéro de carte bancaire et d'y ajouter le code PIN, l'adresse, la date de naissance, etc. Puisque l'utilisateur voit s'afficher son vrai nom et de vraies informations, il n'aura aucun doute sur la véracité de la page", met en garde Mikko Hypponen. Selon F-Secure, cette technique est mise en oeuvre relativement facilement à l'aide d'un simple kit de phishing disponible en ligne.

Quelle que soit la méthode de vol des identifiants bancaires, le détournement des fonds suit généralement peu de temps après. Selon F-Secure, les systèmes mis en oeuvre par les pirates n'ont rien à envier aux plate-formes professionnelles, au point que certains préviennent leur auteur par SMS dès que l'argent est prêt à être transféré. Et lorsque les comptes ne sont pas pillés, ils sont revendus, probablement par des pirates qui ne veulent pas avoir à gérer eux-même le blanchiment de l'argent volé. "Actuellement, un lot de trois comptes bancaires avec plusieurs milliers de dollars dessus et avec l'option de transfert de fonds activée se négocie environ 500$", révèle Mikko Hypponen.