Internet a transformé en une décennie bon nombre d’activités, et notamment les activités commerciales, en augmentant la vitesse, la simplicité et le périmètre géographique des transactions tout en réduisant leur coût. Les criminels n’ont pas mis longtemps à découvrir les bénéfices qu’ils pouvaient tirer d’un environnement ouvert, mondial, dont les règles diffèrent d’un pays à l’autre.
Aujourd’hui, Internet avec ses multiples possibilités pour masquer l’émetteur, le destinataire et le contenu d’un message est un outil précieux dans l’exercice d’activités illégales traditionnelles. Il est aussi une source de nouvelles activités illégales qui tirent leur légitimité du Réseau des réseaux. Parmi elles, les arnaques dirigées soit contre les particuliers, soit contre les entreprises, sont d’autant mieux connues qu’elles touchent des victimes qui savent lire et écrire, qu’elles laissent derrière elles des traces indélébiles, et que la loi oblige souvent les entreprises à signaler tout vol ou perte de données personnelles.
Considérons les derniers rapports pour 2007 :
2007 Internet Crime Report du IC3, Internet Crime Complaint Center du FBI américain,
2007 Annual Study : U.S. Cost of a Data Breach, Ponemon Institute, LLC
McAfee North America Criminology Report, Organized Crime and the Internet 2007
Symantec Report on the Underground Economy, Novembre 2008
Rapport 2007, Observatoire de la sécurité des cartes de paiement, Banque de France
Fraud – The Facts 2008 : APACS, the UK payments association
Alors que les chiffres de la cybercriminalité diffèrent grandement entre ces diverses sources, on y trouve un certain nombre de constantes.
Tout d’abord, les criminels n’ont plus besoin (comme les premiers auteurs de virus) d’être experts informatique : on trouve en vente libre les logiciels espions les plus élaborés. On trouve aussi les données collectées par ces logiciels espions : informations bancaires et informations personnelles suffisantes pour acheter en ligne ou transférer des fonds.
Ensuite, la panoplie des arnaques aux particuliers évolue peu : de la promesse d’un investissement juteux ou d’un transfert de fonds d’un compte bloqué en Afrique, en passant par la fraude aux enchères, la non-expédition du produit payé, ou l’exploitation d’un numéro de compte collecté par phishing.
Le plus surprenant, c’est que ces arnaques continuent à faire des victimes, avec un taux de succès assez constant, alors que le nombre de tentatives explose, doublant même tous les 4 mois dans le cas du phishing.
En termes de chiffre d’affaires, la fraude sur l’achat en ligne par usurpation de numéro de carte bancaire est du même ordre de grandeur que l’ensemble des autres fraudes touchant les particuliers sur Internet. En augmentation de 37% entre 2006 et 2007, elle représente 40% du total de la fraude à la carte bancaire en France et 54% au Royaume-Uni, où elle s’élève à 670M€.
Cette croissance importante est encore masquée (mais pas pour longtemps) par la généralisation de la sécurité EMV sur les cartes, qui a permis de diviser par deux la fraude à la carte bancaire. Le montant de cette fraude ne remet pas en question le mécanisme de paiement par cartes, puisqu’il ne représente « que » 0,05% du montant des transactions.
En ce qui concerne la fraude touchant les entreprises, on observe une évolution rapide de l’origine des fraudes, la fraude interne qui représentait 80% du total en 2005 n’est plus que 60% en 2007, indiquant que les attaques externes s’organisent malgré les sécurités en place. Même si les pertes subies par les entreprises sont plus difficiles à chiffrer que les fraudes à la carte bancaire, elles suffisent pour provoquer des mouvements de panique qui perturbent les opérations : pas facile en effet de travailler sans clés USB (comme vient de le décider le DoD US) ou sans PC portable.
La mondialisation permet aux cyber-criminels d’opérer depuis des paradis juridiques, où ils ne risquent rien ou presque. Elle a encouragé la spécialisation (création des spywares, vol des données personnelles, vol des informations bancaires, exploitation de ces données) : le marché annuel de ces données est estimé à 230M€, alors que le chiffre d’affaires généré par les arnaques exploitant ces données s’élèverait à 7Md€. De tels écarts rappellent le marché de la drogue, et, les mêmes causes produisant les mêmes effets, la cybercriminalité s’est bien liée au crime organisé.
Les montants en jeu, qu’ils concernent les particuliers ou les entreprises sont encore faibles par rapport à la totalité des échanges, mais avec 40% de croissance annuelle, ils ne peuvent plus être ignorés. Dans le cas du commerce en ligne, le montant de la fraude par usurpation d’identité est déjà du même ordre de grandeur que celui de la fraude à la carte bancaire dans les années 2001. Or, c’est ce qui avait alors justifié le passage à la norme EMV (généralisation des puces sur les cartes).
L’espace de liberté de l’Internet des origines a vécu. Les transactions sont déjà traçables et tracées, il manque à cette traçabilité une valeur probante. Dans toutes les applications en ligne, les usagers s’identifient. Il manque à cette identification la non répudiabilité. Attention, ceci ne signifie pas la communication systématique de données personnelles, mais l’impossibilité, pour celui qui a effectué une transaction, de prétendre en cas de plainte pénale qu’il n’y était pour rien.
Aujourd’hui, l’identification sur Internet repose sur le couple identifiant-mot de passe. Cette information facile à fabriquer comme à usurper facilite aussi la répudiation d’une transaction. Le premier outil à mettre en place, pour protéger les cybercommerçants comme pour réprimer la dissémination d’images pédophiles est l’authentification forte, qu’il faudra peu à peu imposer pour les achats en ligne, la participation à des ventes aux enchères comme à des forums de discussion, la collaboration à des sites ftp ou le simple envoi de mèls. C’est bien ce que recommandent les organismes spécialisés tels que la CNIL en France, l’APACS au Royaume Uni, la FFIEC aux Etats-Unis pour au moins certaines de ces tâches. Authentification forte ne veut pas dire contrainte forte pour l’utilisateur, il existe en effet des solutions qui ne font pas appel à des tokens dédiés (Mobilegov SAWS par exemple). C’est alors l’ordinateur ou un composant appartenant à l’internaute (clé USB, appareil photo, téléphone…) qui l’authentifie, en même temps que son mot de passe.
Michel Frenkiel
Expert auprès de la commission européenne sur les problématiques de sécurité informatique et Président de Mobilegov