Plus de 16 milliards d’euros ! Selon le « bilan e-commerce » publié par la fédération du e-commerce et de vente à distance (Fevad) et le secrétariat d’Etat chargé des entreprises et du commerce extérieur, c’est le montant des échanges commerciaux réalisés en 2007 sur la Toile française. Ce chiffre d’affaires en hausse constante (+ 37 % entre 2005 et 2006, + 35 % entre 2006 et 2007) suscite l’appétit des acteurs les moins fréquentables du Net. Alors que les Français ont de moins en moins de réticence à laisser leurs coordonnées bancaires sur le réseau, hackers (pirates du Net) et escrocs rivalisent d’ingéniosité pour attirer les « cyber-chalands ».
Depuis les années 2000, les cyber-criminels utilisent la messagerie comme arme d’attaque. Via des courriels infectés par des logiciels malveillants (malware), ils installent sur l’ordinateur de leurs victimes des programmes espions (Spyware) susceptibles de leur révéler identité, données personnelles, codes bancaires… Au fur et à mesure de leur sensibilisation à ce danger, les internautes se prémunissent en installant des logiciels de protections, des anti-virus et des pare-feux (rempart contre des intrusions) qui compliquent la tâche des agresseurs. L’adaptabilité est la clef du succès des entreprises, même les plus crapuleuses. « Les pirates se sont tournés vers le Web, qui est aujourd’hui peu protégé. Ils se sont mis à y installer des malwares pour dérober directement des informations confidentielles », dit la société Sophos, éditeur en sécurité informatique, dans un Livre blanc publié en février.
L’une des formes les plus répandues est le « phishing » appelé également « hameçonnage » ou encore « filoutage ». Ce type d’attaques consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance (organisme financier, administration, etc.). La cible reçoit une invitation par un courriel maquillé aux couleurs d’une institution (logo, charte graphique). L’objectif est de l’amener sur des pages Web qui auront également l’apparence du site officiel et sur lequel on lui demandera des informations confidentielles (mot de passe, code bancaire).
Le « malvertising » est apparu en 2007. Il s’agit d’attirer et de piéger l’internaute grâce aux promesses d’une fausse bannière de publicité. L’utilisateur croit être sur le site d’un annonceur classique alors que ce dernier ne fait que diffuser des programmes chargés de récolter des données personnelles.
Plus récemment encore, la société Messagelabs, spécialiste américaine de la sécurité Internet, soulignait l’exploitation des réseaux sociaux comme Facebook ou Linked-In par des cyber-criminels. Ces réseaux, qui sont des véritables mines à ciel ouvert en termes d’informations personnelles, permettent de rassembler suffisamment d’éléments pour se substituer à l’identité des utilisateurs. Ce type de procédé est « le risque montant », estime Bernard Dutreuil, directeur du département Systèmes et moyens de paiement à la Fédération bancaire française. « Le détournement de l’identité d’un individu, la récupération d’éléments à caractère personnel serviront aux malfaiteurs à se faire passer pour un autre afin de commettre des délits, des achats avec des moyens de paiement usurpés. »
Selon BNP-Paribas, dont les clients ont été victimes d’une attaque de type « hameçonnage » en mars, « depuis 2004, année de la première attaque dont nous avons été la cible, la technique des pirates informatiques n’a pas évolué. Nous avons depuis mis en place un système de veille efficace… Nous n’avons jamais eu à subir aucune perte », assure-t-on. La Fedav a réalisé une enquête sur « l’évolution des paiements frauduleux par carte bancaire et privative, en vente à distance et sur Internet ». Sollicitée par Le Monde, la Fedav n’a pas souhaité partager les résultats de son enquête. L’Observatoire de la sécurité des cartes de paiement, de son côté, soulignait une augmentation « très modeste » du taux de fraude sur les paiements à distance dans son dernier rapport… de 2006.
« Le nombre d’attaques comme le business parallèle engendré par ces activités est difficilement mesurable, explique Christophe Vérité, ingénieur spécialiste en sécurité informatique pour la société finlandaise F-Secure. Toutefois, s’il ne cesse de se développer depuis plusieurs années c’est qu’il y a un marché… » Ce type d’arnaque « joue sur la curiosité, la naïveté… ou l’appât du gain des internautes, souligne Bernard Dutreuil. Le client est informé qu’il ne faut jamais laisser ses coordonnées sur le réseau. Il est le principal artisan de sa sécurité. »
Eric Nunès
Source : http://www.lemonde.fr