La Cybercriminalité nouveaux enjeux de la protection des données

Le vol d'informations sensibles

Au-delà du risque constitué par l'usurpation de leur identité, les entreprises sont particulièrement vulnérables à travers leur interface Internet à plusieurs niveaux. En effet, plusieurs de leurs données peuvent faire l'objet d'attaques, principalement dans une perspective de vol de ces données. Parmi les données les plus sensibles selon nous, se trouvent les données techniques relatives aux innovations de l'entreprise, et les données à caractère personnel de leurs clients, qui par exemple ont pu fournir leur numéro de carte bancaire lors d'une opération de commerce en ligne.

Les motivations des attaquants sont diverses, puisque les attaques peuvent provenir de l'intérieur même de l'entreprise, comme de l'extérieur. Il convient ici d'identifier les localisations des données sensibles pour savoir comment et par quels chemins elles sont accessibles. Une entreprise de commerce en effet, au delà de son interface en ligne accessible sur le réseau Internet, va bien souvent disposer d'un réseau Intranet, réseau fermé interne à l'entreprise. En général les informations sensibles ne seront pas accessibles à tous mais seulement à un nombre restreint de personnes, principalement employés de l'entreprise, et elles seront donc à cet effet placées sur l'Intranet. Or, entre l'Intranet et l'Internet des communications sont possibles, des passerelles peuvent exister, ce qui représente un danger pour ces données.

D'abord, et dans une perspective « traditionnelle », le vol d'informations peut se faire par des voies internes, ainsi un employé de l'entreprise cible peut se voir contacté par les pirates pour délivrer ses informations de connexion à l'Intranet de l'entreprise, en échange d'argent le plus souvent. Un employé de cette même entreprise peut être lui-même le pirate, auquel cas il se servira de ses propres codes d'accès s'il a un niveau de responsabilité suffisant pour accéder aux informations sensibles stockées sur le réseau. On retrouve souvent cette configuration dans le cas d'employés licenciés, qui savent qu'ils vont quitter l'entreprise et nourrissent un certain ressentiment à son égard, ou d'anciens employés qui bien que n'appartenant plus à l'entreprise possèdent toujours leurs autorisations d'accès et en usent à mauvais escient. À son insu, un employé peut également être victime d'espionnage, si des logiciels malveillants sont installés sur son ordinateur personnel dont il se sert pour accéder au réseau interne de l'entreprise par exemple, ou il peut être piégé par des techniques telles que le hameçonnage précédemment décrit qui vont l'induire en erreur et l'amener à révéler ses informations d'accès.

Le vol d'information peut également être commis de manière plus nouvelle, par des voies externes, principalement par le biais d'Internet. Ainsi, les pirates peuvent s'infiltrer par des portes laissées ouvertes dans le réseau, et accéder ainsi aux informations qu'ils recherchent. Ils peuvent également utiliser des logiciels malveillants qui vont leur permettre de répliquer les autorisations d'accès en falsifiant les certificats afin de passer au travers des différentes étapes de sécurisation, qui sont d'autant plus efficaces qu'elles sont nombreuses et variées.

Ensuite, des pirates peuvent vouloir lancer des attaques pour voler des informations relatives à l'innovation, c'est ce qu'on qualifiera d'espionnage industriel. Comme l'espionnage industriel traditionnel, le but des pirates, qui vont se trouver à la solde d'un concurrent ou à la solde du plus offrant, est de voler l'innovation technique de la cible, en restant le plus discrets possible afin de l'égaler sinon de le doubler. Des informations de la plus haute importance peuvent se trouver sur les serveurs du réseau de l'entreprise, et même si ces informations ne sont pas directement en ligne où ne l'ont été que pour une période brève, les pirates ont plusieurs moyens d'y accéder. Ils peuvent suivre les chemins qui ont été précédemment ouverts grâce aux caches ou grâce à la négligence humaine.

Enfin, les pirates peuvent vouloir s'attaquer aux données concernant la clientèle de l'entreprise cible. Les raisons du piratage de bases de données clients sont variables, il peut avoir pour but de récupérer des adresses de courriel pour procéder à des envois massifs de pourriels, ou spams, ou de revendre aux concurrents ces bases de données. Il peut aussi avoir pour but de s'infiltrer plus facilement dans les ordinateurs de ces clients en utilisant leur relation avec l'entreprise comme prétexte à des courriels contenant des applications malveillantes qui permettront aux pirates de mettre en place des botnets. Un botnet est un réseau d'ordinateurs infectés par un virus malveillant, qui lorsqu'ils se réveillent, c'est-à-dire lorsqu'ils en reçoivent l'ordre, en général tous en même temps, deviennent des robots à la solde du virus, d'où leur nom d'ordinateurs zombies^16(*). En pratique, les botnets sont utilisés par les pirates pour lancer des attaques DOS (Denial Of Service) ou DDOS (Distributed Denial Of Service) qui vont inonder la cible de requêtes et rendre par ce moyen le serveur inopérant. Enfin, la principale motivation des pirates qui attaquent les bases de données clients est le vol des données bancaires de ces derniers. Ainsi, citons l'exemple récent de l'opérateur de télécommunications américain AT&T, victime du piratage de ses données pour un total de près de 19000 clients et leurs informations bancaires, ou encore le piratage historique de plus de 40 millions de numéros de cartes bancaires Visa et Mastercard en 2005, grâce à l'exploitation d'une faille système chez le sous-traitant en charge du traitement des transactions entre les banques et les clients, Cardsystems^17(*). L'exploitation de telles données est lucrativement très intéressante pour les pirates, qui peuvent soit s'en servir eux-mêmes pour commettre des fraudes à la carte bancaire, soit les revendre sur les réseaux underground précédemment évoqués.

Selon Symantec, il existe un véritable marché des informations volées aux entreprises, et les données relatives aux cartes de crédit se monnayent par exemple entre 0,40 et 20 $ US^18(*) .

Par curiosité, nous avons tenté une simple recherche sur Google en tapant « VISA MC skimmed dumps », recherche ce qui nous a mené à plus de 25000 résultats, et dirigé très facilement sur des forums sur lesquels en effet on peut lire des annonces de numéros de cartes de crédit à vendre^19(*). Le fait que ces informations soient extrêmement accessibles nous paraît significatif de la facilité avec laquelle les pirates se les procurent.

Le problème est que l'on ne connaît pas, et l'on ne connaîtra sans doute jamais avec précision, l'importance de ce type de vol de données. Les raisons en sont multiples : tout d'abord, le principal intérêt des pirates est d'agir silencieusement afin que leur méfait ne soit pas découvert et qu'ils puissent effectivement exploiter ces données, et c'est pourquoi il est de plus en plus difficile de repérer ces attaques qui ne cessent de gagner en subtilité grâce au développement croissant de logiciels malveillants de plus en plus performants. Ensuite, et c'est pourquoi les pirates peuvent choisir de s'attaquer à des entreprises commerciales plutôt qu'à des organismes publics, l'entreprise piratée aura tout intérêt à étouffer l'affaire et à ne pas dévoiler au grand public qu'elle vient d'être victime d'une telle attaque, sous peine de voir la confiance de ses clients s'envoler en fumée. En effet, l'argument principal d'une entreprise ayant des activités de commerce électronique sera la confiance que l'on peut lui accorder quant à la sécurité des transactions en ligne. Pour contrer ce genre d'attaque, les entreprises devront utiliser au maximum les possibilités de sécurisation de leurs réseaux^20(*), mais elles pourront également avoir recours à des moyens de paiement sécurisés, comme Paypal.

Comme nous l'avons vu, les entreprises sont des cibles privilégiées pour les cybercriminels, mais elles ne sont pas les seules. En effet, les Etats sont les nouvelles cibles de la cybercriminalité.

Les enjeux de la protection des données pour les Etats

Les Etats sont aujourd'hui de plus en plus confrontés à la cybercriminalité, d'abord de par leur rôle de protection des citoyens, mais surtout parce que le développement des nouvelles technologies de l'information les a menés à développer des sites web afin de garantir une meilleure accessibilité, et une économie de temps et d'argent substantielle. Le revers de la médaille réside en ce que certaines données personnelles relatives aux citoyens et résidents deviennent plus facilement accessibles, en particulier sur les serveurs gouvernementaux (A). Par ailleurs une nouvelle menace se développe pour les Etats : le cyber-terrorisme (B).

* 16 Sur la propagation des botnets, voir l'article de Jérôme SALZ sur le site , en ligne < >, 2007

* 17 Joris EVERS, Plus de 40 millions de numéros de carte Mastercard et Visa piratés, publié le 20 juin 2005, en ligne < >

* 18 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 19 Cf. Annexe

* 20 Cf. infra