Cybercriminalité : nouveau record battu

La période est propice, les Jeux Olympiques font décidément des émules et la discipline Cybercriminalité ne déroge donc pas à cette règle. Les cyber-athlètes, ayant longuement eu l'occasion de s'entrainer sur ce fabuleux terrain de jeu qu'est Internet, sont plus qu'affutés et font bien évidement tomber les records, que ce soit en matière de vol, de fraude, d'intrusion ou d'extorsion en tout genre.

Nous en discutions il y a peu de temps, la cybercriminalité est indéniablement un business extrêmement florissant. En la matière, les informations relatives aux comptes ou numéros de cartes bancaires sont toujours aussi prisées. Elles présentent un double intérêt car c'est une matière exploitable :

  • directement : utilisation de ces données pour effectuer directement des retraits d'argent bien qu'à une grande échelle, il est préférable d'opter pour une solution visant à blanchir initialement l'argent (recours à des mules, ...)
  • indirectement : revente de ces données sur le marché noir à des tierces parties toujours très intéressées par ce type d'information (utilisation de canaux IRC et autres forums spécialisés pour proposition et négociation)

Un nouveau record est tombé

D'après le Département de la Justice américaine, plus de 40 millions données bancaires aurait été dérobées auprès de plusieurs enseignes du secteur du commerce aux États-Unis, plaçant ainsi cette affaire #1 des actes de cyber-piraterie connus.

Pour voler ces informations, les malfrats ont eu recours au wardriving : cette technique est honteusement simple et consiste à chercher des réseaux sans fil WiFi vulnérables, comprenons peu ou mal sécurisés. Un fois identifié, le point d'accès est hacké et devient une porte d'entrée privilégiée sur le SI de l'entreprise. Il ne reste plus qu'à déposer les outils nécessaires (sniffer, collecteur, chiffreur, ...) au endroits névralgiques pour intercepter les informations sensibles et les détourner vers l'extérieur.

Dans cette affaire, les réseaux sans fil des commerces ont été principalement ciblés. Par expérience et particulièrement dans le monde retail (impliquant généralement un nombre important de point de vente), il n'est pas rare de constater des déploiements de hotspots WiFi ne prenant pas en compte la problématique sécurité localement, et encore moins l'application de la politique sécurité groupe (en imaginant qu'elle couvre cet aspect).

Pour les consommateurs que nous sommes, la legislation française nous protège et la mécanique d'"assurance" mis en place par nos institutions bancaires nous garantit un dédommagement. Mais pour combien de temps ? L'ampleur et la fréquence des cyber-fraudes risquent de mettre rapidement à mal ce système.

Nicolas Jacquey
Olivier Rodier

nsp