Sites Inria

Le 23.08.2016
Par :
Philippe Vion-Dury

Cybercriminalité : un nouveau défi pour les entreprises et les organisations (partie 1)

En 2014, une étude menée par le cabinet d’audit et de conseil PwC estimait que dans le courant de l’année écoulée, les entreprises avaient essuyé 42,8 millions d’attaques, soit 117 339 attaques quotidiennes. En France, une autre étude publiée en mars dernier par le même cabinet révélait que chaque entreprise subirait en moyenne vingt-et-une attaques par jour, tandis que plus de la moitié des fraudes déclarées aux autorités seraient de type cybercriminel. Montant des pertes estimées en 2015 ? 3,36 milliards…
© Tyler Olson - Fotolia

L’année 2015 a été marquée par une série de cyberattaques de grande envergure, toutes plus médiatisées les unes que les autres. En janvier, on apprenait par le FBI que le piratage de l’entreprise américaine Sony Pictures, deux mois auparavant, aurait été orchestré par la Corée du Nord, occasionnant la disparition dans la nature des scénarios, films, et même dossiers médicaux des employés... En avril, c’était au tour de la chaîne francophone TV5 Monde d’être confrontée à une attaque massive, revendiquée par l’Etat islamique. En août, le site d’adultère en ligne Ashley Madison était à son tour la cible d’un groupe de pirates, ce qui avait eu pour résultat la diffusion sur Internet des données de trente-trois millions de comptes utilisateurs. A la fin de l’année, pas moins de neuf violations massives de données rendues publiques et cinq-cent-millions de données personnelles volées ou perdues étaient dénombrées à travers le monde. Mais le caractère spectaculaire et médiatique de ces attaques masque toutefois une autre réalité : la banalité de la cybercriminalité.

 

La donnée, le nouvel "or noir"

Les actes cybercriminels peuvent prendre diverses formes. Ils visent parfois à détruire une infrastructure réseau, à en prendre le contrôle ou à la paralyser temporairement. Le plus souvent, c’est bien la donnée – que l’on n’hésite plus à qualifier de nouvel or noir – qui est au cœur du phénomène. La cybersécurité est là pour protéger ces données dites sensibles : documents confidentiels détenus par un organisme public, secrets industriels appartenant à une entreprise, informations relatives aux infrastructures ou aux employés d’une organisation, données relatives aux projets R&D, contrats, registres de clients, etc. Ces données-là sont généralement d’ordre économique, stratégique ou politique. Mais on qualifie aussi de sensibles les données personnelles relatives à la vie privée…

Il faut pourtant faire une distinction. « Lorsqu'on parle de données personnelles, on a d'un côté les données qui permettent d'identifier directement la personne (nom, prénom, numéro INSEE, etc.), et d’autre part des données qui peuvent, si elles sont assez nombreuses, également constituer un identifiant unique en formant une sorte d'empreinte (âge, sexe, ville, orientation sexuelle). Reliées à une personne, elles donnent une information sensible à son sujet » explique Mathieu Cunche, enseignant chercheur à l'INSA-Lyon et membre de l'équipe-projet Inria Privatics. Et les données sensibles sont nombreuses : adresse, numéro de téléphone, numéro de carte bleue, état civil, informations médicales, informations sur les proches. Autant de renseignements pouvant être détournés pour devenir sources de bénéfices, ou susceptibles de nuire directement ou indirectement à la personne…

En effet, chaque individu génère une masse de données, collectées par un grand nombre d’acteurs, toujours plus gourmands. Certaines sont récupérées « par des acteurs commerciaux qui souhaitent réaliser du profilage, de la publicité ciblée, du démarchage », explique Mathieu Cunche. D’autres le sont « dans le cadre d’un service rendu et sont justifiées du point de vue de leur utilité », telles les données de GPS qui doivent être enregistrées pour utiliser Google Maps, par exemple. Mais, qu’elles soient collectées à la dérobée par des trackers sur Internet ou produites dans le cadre d’un service pour le bon fonctionnement de ce dernier, elles sont dans tous les cas jalousement conservées par les acteurs qui les détiennent car elles représentent une manne dont on peut exploiter la valeur grâce au Big Data (traitement des données massives). Enfin, il arrive que ces données fassent l’objet d’actes qu’on qualifiera de cybercriminels…

 

Vols et prises d’otages numériques

Ces dernières années, le rançonnage s’est banalisé de façon inquiétante. Un logiciel malveillant (ramsonware ou rançongiciel) permet à l’auteur de l’attaque de prendre en otages les données de sa victime en les chiffrant ; ne lui reste ensuite qu’à monnayer la clé de déchiffrement, pour des sommes parfois spectaculairement élevées. Selon le dernier rapport de Symantec, ce type d’attaque a progressé de 35% en 2015 dans le monde et de 260% en France ! Le rapport place également la France et ses 391 000 attaques de ramsonwares au cinquième rang mondial pour cette menace. "Locky", par exemple, fait des ravages depuis le début de l’année 2016 en ciblant en priorité des PME. L’infection se fait par simple ouverture d’une pièce jointe dans un mail infecté : les données sont chiffrées, et leur déchiffrement peut coûter à l’entreprise entre  dix-mille et vingt-mille euros, payés en Bitcoins. Selon Laurent Heslault, directeur de la stratégie sécurité de Symantec,  « Le Bitcoin a rendu le traçage par les autorités quasi impossible. »… (à suivre)

 

Crédits et légendes photo : Server room in data center. Telecommunication equipment © Oleksandr Delyk - Fotolia

Propulsé par