FLASH INFORMATIQUE FI



Pourquoi l’attaque sur Internet est-elle rentable ?




Mauro VIGNATI


Introduction


Quoique l’Internet soit un phénomène relativement nouveau, la plate-forme qu’il met actuellement à disposition permet d’échanger des informations, d’effectuer des opérations commerciales et d’assurer une communication dans des conditions toujours plus rapides et efficaces. Un nombre croissant d’utilisateurs profitent des possibilités offertes aujourd’hui par la Toile. Environ 60 % de la population dispose d’une connexion Internet en Suisse.
Souvent considéré comme un espace virtuel mondial offrant des possibilités illimitées, Internet n’est en fait qu’un modèle simple du monde réel, avec ses bons et ses mauvais aspects. Comme tous les avantages et les inconvénients se retrouvent indistinctement sur un terrain de jeux qui englobe la planète entière, Internet est soumis aux mêmes règles, parfois sous une forme encore plus évidente, que celles régissant le monde réel.
Il n’est donc guère difficile d’apporter une réponse à la question posée en titre : pourquoi l’attaque sur Internet est-elle rentable ? Les agressions qui visent en principe le porte-monnaie de tout un chacun, les données d’une personne ou la productivité d’une entreprise sont tout aussi profitables que celles commises dans le monde physique. Il convient donc d’aborder le problème sous un autre angle et de chercher à comprendre à quoi ressemblent ces attaques et pourquoi certaines d’entre elles sont nettement plus rentables que d’autres lorsqu’elles sont menées sur Internet ou par le biais d’Internet.

De la naïveté régnant dans un monde nouveau encore innocent


À l’instar de la grande métropole ou du petit village alpestre, Internet a ses ombres et ses lumières. Il offre un espace de rencontre ouvert qui permet à tout un chacun non seulement de musarder dans un environnement sérieux et juridiquement correct et d’en profiter, mais aussi de s’engager dans des ruelles sombres. Or bon nombre d’internautes font preuve d’une grande naïveté lorsqu’ils fréquentent ces quartiers inquiétants, et il s’agit là d’un véritable problème. Alors qu’aucun de nous n’aurait l’idée de remettre une copie de son passeport au premier venu croisé dans la rue, une telle situation semble se présenter tous les jours sur Internet. C’est ainsi que le trafic d’identités volées, de numéros de carte de crédits et d’identifiants commis aux portails de ventes aux enchères ou aux sites de services bancaires en ligne fait florès. Nous ne pensons ici qu’aux principales formes de fraudes que sont le phishing, l’escroquerie aux enchères en ligne, l’arnaque des lettres nigérianes, ainsi que le grooming auquel ont recours certains pédophiles pour entrer en contact avec des enfants par le biais de chats.
Ne nous laissons pas leurrer, l’anonymat que fait miroiter le monde virtuel n’offre pas forcément la sécurité. Bien au contraire, il est très difficile d’identifier un avatar virtuel comme une véritable représentation d’une personne ou d’une institution physique sérieuse telle que cela serait le cas dans le monde réel. Malgré cela, les internautes restent très naïfs face aux questions de sécurité sur la Toile : les simples règles de bon sens et de saine méfiance ne se sont pas encore imposées dans le monde virtuel.

C’est la masse qui conduit au succès


Il est plus facile de soustraire, en usant d’astuces perfides, l’argent d’un quidam par le biais d’Internet que dans le monde réel. L’espace virtuel permet également d’accéder à un énorme vivier de clients potentiels et de mettre la main sur des montagnes d’informations dont l’enregistrement est centralisé.
Les attaques sur Internet s’appuient sur la loi des grands chiffres. Ainsi, même si le taux de réaction est faible, les gains n’en restent pas moins significatifs. Prenons l’exemple du phishing, une escroquerie classique qui menace notamment les utilisateurs des services bancaires en ligne : seule une infime partie des millions de clients réagit au message piégé qui leur a été adressé, mais le gain réalisé par l’agresseur lui permet d’acheter une, voire plusieurs voitures neuves.
La Toile, qui est en fait une banque de données, offre de bonnes chances de succès à l’agresseur lorsqu’il attaque de manière ciblée plusieurs millions de blocs de données exploitables. Aux États-Unis, des vétérans de l’armée bénéficiant d’une rente invalidité se trouvent d’un jour à l’autre, sans le savoir, dépourvus de l’usage de leur carte de crédit, ce à l’avantage de l’escroc qui est parvenu à obtenir les données les concernant.
L’internaute se laisse également prendre au jeu de l’agresseur, car les systèmes ayant été infectés et ayant subi des intrusions permettent à merveille de dissimuler le véritable lieu d’origine d’une attaque. Plusieurs millions d’ordinateurs continuent certes d’être utilisés par leurs propriétaires, mais sont en fait contrôlés par d’autres. Les entreprises Internet faisant du commerce en ligne par exemple se prêtent bien au chantage fondé sur les attaques de déni de service distribué (DDoS). Or le versement d’une fraction du chiffre d’affaires mensuel suffit en général à écarter quelques jours durant le risque d’être rayé du réseau.

Conclusions


Que ce soit sur Internet ou dans le monde réel, les actions criminelles sont payantes chaque fois que se rencontre, ici ou là, un grand nombre de personnes qu’il est possible de filouter ou dont on peut tirer des informations personnelles. Les activités transfrontalières exercées dans un réseau planétaire ne sont en fait que jeux d’enfant et les victimes potentielles n’opposent pour l’instant guère de résistance face à de tels agissements.
Le commerce lié au vol d’identités, au phishing et aux escroqueries en ligne est en pleine prospérité. Ainsi, la personne qui s’intéresse uniquement aux côtés techniques et non à l’acte illégal en soi, met, moyennant un prix respectable, son savoir-faire ou ses innovations techniques à la disposition de tout individu voulant utiliser des maliciels ou des programmes similaires à des fins lucratives.
Le principe de la pondération des risques est celui qui prévaut sur la Toile. Autrement dit, tant que les perspectives de gains dépassent les risques d’un échec, les attaques sur Internet resteront un champ d’activité attractif pour les cybercriminels. C’est donc aux autorités de poursuite pénale des pays confrontés au phénomène qu’il revient principalement de faire en sorte que cela change et de consolider leur coopération. Enfin, comme Internet ne diffère guère du monde réel, tout un chacun doit être à même de protéger ses biens contre des attaques éventuelles, ne serait-ce qu’en faisant appel à son bon sens.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.