Wieland Alge, vice-président et directeur général EMEA de Barracuda Networks, fait la démonstration que le crime organisé prend le virage du numérique plus vite – et bien mieux – que bon nombre d’entreprises classiques. Et prend l’exemple du ransomware Locky. Un “lancement de produit” savamment organisé.
Le cliché persistant du pirate informatique associable et portant un sweatshirt à capuche a conduit à sous-estimer les cybermenaces. Pourtant, il y a un fond de vérité : les cyberpirates des années 80, 90 et 2000 présentaient certes d’excellentes compétences techniques, mais, en revanche, de faibles aptitudes criminelles. Ils étaient parfaitement capables de lancer des attaques mais il leur était quasiment impossible – car bien trop difficile – de les monnayer. Ce n’est d’ailleurs pas un hasard si on découvre souvent aujourd’hui des vols de données commis bien des années auparavant. Ils ne sont tout simplement pas parvenus à trouver rapidement des clients pour écouler leurs enregistrements. Et lorsqu’ils y sont parvenus, les autorités les ont facilement appréhendés – grâce à leur manque d’expérience criminelle – en retraçant les flux monétaires.
Les spammeurs ont été les premiers cyberdélinquants à véritablement pouvoir vivre de leur activité. Mais cela restait des débuts modestes. Au bout de quelques années, ils pouvaient peut-être s’acheter une voiture, sans toutefois être en mesure de s’offrir un yacht. En comparaison du niveau de menace actuel, les hackeurs des décennies passées font bien pâle figure.
Car les cybercriminels d’aujourd’hui ne font pas les choses à moitié. Les possibilités offertes par les modèles économiques numériques des organisations criminelles sont immenses. Tout comme les entreprises professionnelles, les organisations mafieuses se fixent des objectifs, élaborent des plans et des stratégies, et réfléchissent à l’optimisation de leurs processus opérationnels. Elles n’ont pas mis longtemps à découvrir que nombre de leurs processus pouvaient être parfaitement dématérialisés : blanchiment de capitaux, contrebande, espionnage, racket et extorsion de fonds, prise d’otages, vol, sabotage et bien sûr l’ensemble du marché noir, notamment le trafic de drogues et d’armes. Cette révolution numérique présente de nombreux avantages : disparition des contentieux territoriaux, élargissement des zones d’intervention, baisse de la pression répressive, recrutement de personnel local dans les régions offrant les conditions les plus avantageuses.
Les organisations mafieuses n’ont pas mis longtemps à découvrir que nombre de leurs processus pouvaient être parfaitement dématérialisés : blanchiment de capitaux, contrebande, espionnage, racket et extorsion de fonds, prise d’otages, vol, sabotage et bien sûr l’ensemble du marché noir.
Les initiateurs de cette mutation numérique du crime organisé ne sont pas des spécialistes de l’informatique. Ils ne possèdent pas forcément un haut niveau de compréhension technique, mais ce sont des délinquants expérimentés. Pour mettre en œuvre leurs modèles économiques, ils mobilisent des légions d’informaticiens bien formés – aux perspectives de carrière restreintes dans les pays émergents et à bas salaires – en leur proposant d’emblée une rémunération permettant des conditions de vie agréables. En outre, il est facile pour des criminels bien entourés d’acquérir sur le Darknet des logiciels de piratage préconfigurés : packages de menaces avancées, vulnérabilités Zero day ou encore programmes de pénétration dans les infrastructures informatiques. Tout est disponible et souvent guère plus difficile à utiliser qu’une application pour smartphones. Rappelons au passage qu’outre ces organisations criminelles, les États et les gouvernements figurent parmi les principaux acquéreurs de ce type d’outils.
Le ransomware Locky constitue l’illustration parfaite de la manière dont le crime organisé aborde la transformation numérique. Ce ransomware a toutefois bien peu de choses à voir avec un hack tel qu’il a pu être pratiqué par le passé par des collectifs de bénévoles comme Anonymous. Locky s’apparente plutôt à un lancement de produit savamment organisé. Une organisation basée sur la division du travail s’est occupée du marketing, de la commercialisation et de l’assistance technique. Ses inventeurs ont manifestement procédé à une minutieuse étude de marché. Dès les premiers jours, leurs mailings ont enregistré un taux de conversion incroyable de plusieurs dizaines de milliers de « clients ». Un tel succès aurait submergé la plupart des jeunes entreprises – mais pas les créateurs de Locky, dont l’identité demeure toujours mystérieuse. Ils se sont en effet parfaitement préparés à cette forte demande. Le service « commercial » a veillé à ce que des milliers de « clients » fassent usage de ce logiciel de chiffrement avant la mise en place des premières parades. Le département « Produits » de son côté n’a pas ménagé sa peine en matière d’ergonomie, de performance et de « sécurisation » du chiffrement. Le « marketing » a fait en sorte que même le FBI recommande aux intéressés de verser la rançon en échange du décryptage. Le « service clients » s’est, lui, assuré que chaque client ayant payé obtienne le bon code de déverrouillage. Le « support technique », pour sa part, s’est mobilisé lorsqu’un « client » a signalé un problème de décodage de ses données. Prodiguant leurs conseils par chat, les techniciens ont eu manifestement à cœur de satisfaire entièrement les « clients ». La « direction » a scrupuleusement veillé à ce que les clients n’ébruitent pas leurs problèmes sur les réseaux sociaux au risque de faire capoter le modèle économique mis au point. En d’autres termes, seule une poignée d’entreprises dans l’économie légale sont à même de réussir un lancement de produit aussi rigoureusement organisé.
Une organisation basée sur la division du travail s’est occupée du marketing, de la commercialisation et de l’assistance technique.
À la différence du hackeur d’antan, la cyber-mafia sait précisément comment extorquer de l’argent à chaque internaute. Nul besoin d’un motif ou d’une occasion particulière. Il suffit d’être simplement présent. Autrefois, chaque commerçant de quartier devait s’acquitter de la « taxe de protection » au coin de la rue. Il pourrait se produire un phénomène similaire sur Internet.
Ce n’est pas seulement au racket que le crime organisé a fait prendre le tournant du numérique, mais à toutes les activités criminelles qu’il pratique avec succès dans le monde réel. Ainsi, les devises au cœur de la technologie blockchain facilitent grandement le blanchiment des capitaux. La prochaine étape de cette transformation s’observe actuellement dans le domaine du sabotage. De plus en plus d’organisations criminelles – probablement en partie soutenues et contrôlées par des États – seraient en mesure de paralyser des infrastructures régaliennes comme les réseaux de distribution d’électricité ou de télécommunications en menant des attaques par déni de service distribué d’une ampleur inimaginable. La quasi-totalité d’entre elles prendra le train du numérique au cours des prochaines années.
Autrefois, chaque commerçant de quartier devait s’acquitter de la « taxe de protection » au coin de la rue. Il pourrait se produire un phénomène similaire sur Internet.
Jusqu’à encore quelques années, les PME étaient souvent épargnées par ces attaques sophistiquées. Aujourd’hui, le coût marginal d’une attaque personnalisée pour le crime organisé est insignifiant puisqu’elles se comptent par dizaines de milliers chaque jour. Tout le monde peut être une cible, le crime organisé n’a plus besoin de choisir qui il va dépouiller.Pour lutter contre ce fléau, les organisations et les entreprises doivent rattraper leur retard en termes de transformation numérique et de sécurisation. Il est urgent d’adopter une approche de type « Security by Design ». Autrement dit, les mesures et systèmes de sécurité essentiels doivent être envisagés dès la phase d’étude et de conception, et non pas une fois le produit finalisé ou la faille déclarée. Les possibilités d’attaque se révèlent alors très limitées, les coûts pour les assaillants extrêmement élevés et leurs chances de réussite plutôt faibles.