Le vrai cybercrime est silencieux

Les relais de presse s'attardent volontiers bruyamment sur les dégâts du cybercrime. Les cyberpirates sont les aventuriers de cette nouvelle conquête de l'Ouest qu'est le cybercontinent. L'appât du gain autant que le goût du jeu et du défi animent la plupart des artistes ou des bandits de grands chemins qui se promènent sur le Net. Mais le vrai problème posé par le cybercrime, c'est l'espionnage ou la capture des données du concurrent sans attirer l'attention de quiconque. Pouvoir consulter les comptes clients d'une entreprise en se faisant passer pour un membre du personnel sans se faire remarquer est le véritable art du gentleman cybercambrioleur. Les récits d'attaques massives ou spectaculaires d'un serveur, de "crackage" d'un passe fortement crypté sont des gamineries à coté de l'intrusion furtive. Si le risque d'une cyber-attaque reste réel et possible, les visites discrètes de données sensibles d'une entreprise ainsi que l'introduction d'un mouchard dans son réseau sont tout aussi plausibles. C'est moins spectaculaire, c'est plus utile et bien sûr plus dangereux.

L'espionnage auquel se livrent des firmes par la mise en place de mouchards n'émet ni virus ni alertes sur votre système s'il dispose d'un simple anti-virus. Pour avoir une idée concrète de cet espionnage intrusif dans votre micro-ordinateur faites l'expérience suivante. Consultez un service de test d'intrusion comme http://grc.com ou différemment procurez-vous une "pare feu" ou "firewall" du commerce. Après l'avoir installé sur son PC, l'utilisateur comptera le nombre de fois où sa protection émet une alarme de tentative de pénétration par un "cheval de Troie". Nous ne doutons pas qu'il ait des sueurs froides après quelques jours. Il prendra alors conscience du nombre de fois où son ordinateur a été visité à son insu en découvrant l'efficacité des "chevaux de Troie", ces petits programmes qui pénètrent l'ordinateur s'installent en silence sur le disque dur sans altérer quoi que ce soit. Backdoor/SubSeven, Hack 'A' Tack ou Back Orifice 2000 tentent de pénétrer le PC sur des ports inutilisés lors des sessions sur le web. A l'occasion d'une connexion sur le web, ils vont aller renseigner son expéditeur sur vos habitudes, les logiciels que vous utilisez, les sites que vous visitez et offrir au pirate la possibilité, si nécessaire, de récupérer à votre insu une copie des dossiers sensibles.

Même si l'exercice est plus complexe pour les tentatives d'intrusion d'un système informatique d'entreprise cela n'a rien d'impossible. Selon une étude de l'American Society for Industrial Society (ASIS), 50% des mille plus importantes sociétés américaines ont fait l'objet d'intrusions dans leurs bases. Lorsque l'on constate l'inconscience des directions et des personnels à propos de la sécurité que l'on qualifiera d'ordinaire ( intrusions physiques facilitant les vols ou indiscrétions irresponsables) pourquoi la sécurité informatique serait-elle significativement supérieure ? Pratiquement personne dans un service informatique et encore moins dans le personnel de l'entreprise n'est capable aujourd'hui de décrire la différence existant entre les différentes informations classifiées. Il est curieux de noter que la notion de la valeur stratégique de l'information n'apparaîtra réellement au début des années 90 que suite à des tentatives d'intrusions des bases d'informations par des escrocs. La mésaventure d'un cadre d'IBM à qui la Mafia coupa un doigt pour une tentative d'intrusion dans une base d'information frappe plus les esprits que les opérations de cyberespionnage, qui on s'en doute, ne font pas de bruit, et pour cause ! C'est leur but.

Denis Ettighoffer