I.6.3. Le Hacking 47
En dépit des désagréments causes par les
virus, l'internet est aussi le foyer privilégié d'une «
délinquance assistée par ordinateur » y trouvant
matière au développement de son activité. En effet, s'il
est possible d'éradiquer un petit programme résidant sur un
ordinateur, il est beaucoup plus difficile de se débarrasser des assauts
insidieux d'un « petit génie » de l'informatique qui, pour une
raison quelconque, pénètre un système et s'octroie ou
détruit des données y étant stockées.
Ces cybercriminels sont connus sous le nom de hackers. Pour des
motivations diverses (idéologiques, politiques ou simplement
lucratives), ils pénètrent illégalement tout type de
système informatique afin d'en modifier la structure ou le
fonctionnement régulier.
En matière de sécurité informatique, il est
usuel d'opposer les risques physiques aux risques logiques ; les uns consistant
en la destruction pure et simple de matériel informatique (câbles
coupes, ordinateurs détériorés...), les autres
étant opérés à distance (à partir d'un poste
informatique relié à un réseau) et consistant en la
destruction, le vol ou l'altération de données informatiques.
Les hackers s'adonnent à cette seconde catégorie
de forfaits. Par défiance, par jeu ou par souci de lucre lancent des
attaques et brisent les systèmes de protection des ordinateurs
hébergeant des sites web.
II est ainsi fréquent qu'ils s'amusent à modifier
les pages des sites officiels des grands acteurs institutionnels. La page web
du (FBI) ou de la Maison Blanche ont etc. maintes fois modifiés par
l'adjonction des messages subversifs ou des photographies à
caractère pornographique.
I.6.4. Le phishing
Une nouvelle forme d'arnaque explose en ce moment sur le
réseau. II s'agit pour les escrocs d'accéder à des
données personnelles en vue de commettre ultérieurement des
infractions en empruntant frauduleusement l'identité de leurs victimes.
Le mariage entre l'astuce humaine ou la technique du « social ingeniering
» et la faille technique est redoutable.
L'internaute reçoit un e mail qui parait tout a fait
officiel et qui n'attire pas la méfiance. Cet
47 F.PANSIER et E.JEZ, op.cit,p.70
e mail incite généralement à donner login
et mot de passe mais aussi d'autres données personnelles. Le mal est
fait. Les victimes potentielles sont souvent invitées ensuite a cliquer
sur un lien qui tombe sur une version trafiquée du site web d'une
société. La victime mord littéralement à
l'hameçon lance par l'escroc, un peu comme à la pèche
à la ligne, d'où le nom «phishing ».
Au début du mois de mars dernier, la banque Internet
australienne Westpac a dû prévenir en urgence des milliers de
clients à propos d'un e mail factice qui les incitait à divulguer
leurs identifiants sur une fausse page. En janvier, ce sont plusieurs grandes
banques britanniques comme Barclays, Citibank et Lloyds, ainsi que le
système de paiement Paypal (groupe EBay), qui ont été
victimes de faits similaires, où la aussi un courrier, plus vrai que
nature, était envoyé aux clients les incitant a se rendre sur une
page trompeuse. Les escrocs, bien informes et bons pirates, exploitaient une
erreur d'affichage des URL du navigateur Internet Explorer.
Le phénomène prend une telle ampleur qu'une
association s'est créée pour observer les tendances et
évolutions du phishing. II s'agit de l'Anti -- Phishing Working Group
(APWG) fondée notamment par des banques, cybermarchands et institutions
financières. Son dernier rapport indique que dans les premiers mois de
l'année, les attaques par « phishing » se sont
multipliées tout en gagnant en sophistication. On constate 163%
d'attaques en plus en février comparé à décembre.
Selon le rapport en février, 282 nouvelles attaques ont
été enregistrées, soit une augmentation de 60% par rapport
a janvier. Dix nouvelles attaques quotidiennes sont signalées.
Le secteur professionnel le plus touché est bien
évidemment celui de la finance et des divers services financiers, mais
c'est le géant des enchères en ligne eBay qui est plus vise et
qui reste la cible préférées des « phishers
».
Entre 1% et 50/0 des destinataires de ces messages falsifies y
ont répondu. II faut dire à leur décharge qu'ils
ressemblent de plus en plus à des e mails officiels, ce qui les rend
d'autant plus difficiles à détecter et on peut donc tomber
facilement dans le panneau en ('absence de sensibilisation. Surtout que les
arnaqueurs utilisent des techniques de plus en plus complexes notamment des
techniques de script intersites qui arrivent à tromper des utilisateurs
avertis et expérimentés.
Les entreprises qui développent les logiciels doivent se
montrer particulièrement vigilantes pour ne pas laisser subsister dans
leurs produits des vulnérabilités susceptibles de constituer des
bases sérieuses d'attaques. En effet, non content de mettre en
péril leur réputation et donc leur existence, elles mettent en
danger aussi les données de leurs clients.
42
L'enjeu est essentiel pour le commerce en ligne. La confiance
en est la clé du
43
développement. Avec le phishing, c'est toute la
fiabilité et la sécurité des transactions commerciales et
des communications qui sont en cause. Avec plus de rigueur et une
méfiance exacerbe, ajoutées à des produits mieux
verrouilles, on devrait pouvoir faire face a cette nouvelle vague qui, n'en
doutons pas un seul instant, sera suivie par d'autres tentatives.
L'intelligence et Imagination des truands sont inépuisables, mais
heureusement, celles des corps constitués qui luttent contre les formes
de criminalité tout autant.
| 
