Cybercriminalité

Parad.IE aborde régulièrement ce sujet lorsqu'il parle de piratage, de spam, de phishing, de hacking, mais sans avoir pris le temps de définir cette forme de criminalité en pleine expansion.

Quelques définitions

• La cybercriminalité correspond à l'ensemble des infractions pénales commises sur le réseau Internet (Gouvernement)
• Le Cybercrime, comme on l'entend également, est un terme largement répandu pour décrire une activité dans laquelle les systèmes et les réseaux informatiques sont un outil, une cible, ou lieu pour réaliser des activités criminelles. (Wikipédia)

La crise favorisant les appétits cybercriminels, la multiplication des outils, réseaux et même des pages Internet disponibles, encouragent la recrudescence de cette criminalité, face à laquelle les autorités semblent bien impuissantes.

D'après une étude publiée la semaine passée par l'office allemand de sécurité informatique : "la situation est encore plus catastrophique" que prévu.

Les pirates se régalent des contenus déposés par les internautes sur les réseaux sociaux, de quoi alimenter leurs botnets et casser les logins et mots de passe de leurs sites préférés (bancaires, vente en ligne...). La démultiplication quasi quotidienne du web et l'absence de réel surveillance favorise le déploiement de vers, virus, spams, sans que les criminels soient appréhendés, ou même identifiés. Pour autant, s'ils sont régulièrement repérés, ils délocalisent plus vite que n'importe quelle entreprise réelle.

Et les entreprises ?

Les entreprises sont le plus souvent victimes de ces attaques.
De leur côté les particuliers n'hésitent pas à porter plainte, à signaler qu'ils ont été la cible de cybercriminels, mais les entreprises sont souvent contraintes au silence, par leur image et les conséquences financières et économiques d'une telle attaque.
De plus en plus d'entre elles, bien conscientes des risques auxquels leur activité est exposée prennent des mesures :

• Renforcement de la sécurité : pare-feu, anti-virus, authentification plus forte (développement de la biométrie notamment)
• Limitation des accès : Les entreprises régissent de plus en plus l'accès depuis les postes d'entreprises à des sites de ventes en ligne, aux réseaux sociaux, et aux sites de messageries instantanées, première porte d'entrée pour des logiciels espions.
• Responsabilisation des personnels : signature de charte éthique, sensibilisation. Evoquée par 01.net la semaine passée, de plus en plus d'entreprises imitent le ministère de la justice américaine. Il teste leurs employés en envoyant de faux spams, en créant des situations de stress ou d'affinités fortes pour apprécier leur capacité à ne pas transmettre leurs mots de passe.

Hier la BBC a fait très fort en piratant en direct dans son émission "Click" 22000 ordinateurs pour mettre en avant les dangers de la cybercriminalité.

Par ailleurs, des entreprises se spécialisent d'ailleurs dans ce type de services : Syss est un des spécialistes très en vue sur le net. (Peut être que Parad.IE aura l'occasion de le rencontrer prochainement pour mieux comprendre les actions envisageables???)

Les conséquences pour l'entreprise

• Le pirate va chercher à bloquer le système informatique de l'entreprise, provoquant immédiatement une chute d'activité et de production et demande une rançon pour le rendre de nouveau exploitable.
• Le cybercriminel recherche des informations pour les détruire ou les voler. La conséquence pour l'activité de l'entreprise et l'atteinte à son image peut être très forte. En ce moment, le secteur bancaire, les entreprises et administrations détenant des données personnelles (assurance, sécurité sociale, mutuelle, site de vente...) sont les cibles privilégiées.

De plus, que la victime soit une entreprise, ou un particulier, la détection de la fraude n'est bien souvent pas immédiate, ce qui permet aux hackers de revenir plusieurs fois sur le lieu du crime et recommencer impunément.

Attention ! Les entreprises peuvent aussi être actrices volontaires ou non de ces piratages. L'actualité rappelle souvent que le téléchargement musical et cinématographique en peer-to-peer notamment est illégale. Mais les logiciels alors!!!!
Microsoft vient de gagner son procès en appel contre la société nordiste Wipnord pour contrefaçon de logiciels. Cette société a récupéré sur des PC d'occasion des certificats d'authenticité apposé ensuite sur ces logiciels.

Si dans ce cas l'entreprise semble bien consciente de commettre une activité illicite, la mutliplication des sites proposant des logiciels libres favorise ce téléchargement illégal. Ainsi l'entreprise télécharge gratuitement un logiciel qu'elle croit libre d'accès. Dans le cas contraire, elle risque d'être condamnée pour piratage, mais bien souvent elle met également en péril son activité, car ces logiciels peuvent ne pas s'installer, avoir des dysfonctionnement, ou pire être un logiciel espion.
Comme pour les particuliers, l'entreprise qui souhaite avoir à sa disposition le bon logiciel privilégiera le téléchargement sur le site de l'éditeur ainsi elle est sûre d'avoir les garanties qui l'accompagnent.

Microsoft devrait être présent en France puisque Business Software Alliance (BSA) évoque 42% de logiciels du "géant" téléchargés illégalement en France.

Comme toujours, soyez vigilant, renseignez vous sur les sites qui vous proposent de télécharger des produits.
Sachez également que les autorités publiques ont fait de la cybercriminalité une priorité. La Gendarmerie, particulièrement active dans la lutte contre ce fléau, organise le 24 mars prochain, le 3ème Forum sur la Cybercriminalité (FIC2009). L'occasion pour chacun de se tenir informé des évolutions de la cybercriminalité, de côtoyer les responsables, de connaitre les solutions simples et efficaces à mettre en œuvre dans son entreprise. Allez y tous!!!