Le dernier panorama de la cybercriminalité, que publie chaque début d’année le Clusif (Club de la sécurité de l’information français), est, une nouvelle fois très instructif. C’est d’abord le constat d’une « explosion du nombre de vulnérabilités, d’attaques ciblées et de programmes malveillants », selon François Paget, « chercheur de menaces » chez McAfee Labs et secrétaire général du Clusif.
Avec des incidents emblématiques (Windows Azure, Orange, Amazon, Google…) et même, en 2012, un bug record : la société de trading Knight Capital a perdu 440 millions de dollars en une heure du fait d’une nouvelle version de logiciel mal testée… Le mobile est aussi concerné : « Un cap décisif a été franchi par les cybercriminels : un filon a été découvert et c’est une véritable ruée sur le mobile qui est en cours », précise Éric Freyssinet, chef de la division de lutte contre la cybercriminalité à la Gendarmerie nationale.
Une des tendances, mise en exergue par Éric Grospeiller, fonctionnaire sécurité des systèmes d’information au ministère du Travail, de l’Emploi et de la Santé, est la professionnalisation des offres de hacking : « Les offres pros sont enfin accessibles à tous, et il existe des services d’assistance pour les utilisateurs de logiciels malfaisants et même une université en ligne pour former les cybercriminels. » Et 2012 a été l’année de la maturité de l’offre. « C’est un modèle commercial complet et opérationnel, du free-lance au système mafieux : on peut louer un pirate, des ressources et des services, souligne Éric Grospeiller.
Et les organisations sont composées d’un système de management pour superviser les opérations, de ressources humaines pour le recrutement, d’opérateurs pour délivrer les services, de R&D et de moyens de communication. » Avec, comme il se doit pour un marché mature, une baisse de prix : « Faire appel à un pirate pour mettre en place une attaque sous forme de déni de service coûte seulement cinq dollars par heure ou 900 dollars pour un mois, détaille Éric Grospeiller. Et pour 200 dollars, on vous livre un réseau de zombies de 2 000 ordinateurs ! » Cela légitime d’autant la prévention des menaces et la compréhension de l’écosystème des hackers.