5 menaces en croissance pour 2010
L'ingénierie sociale, le phishing ciblé ou à grande échelle et l'abus de la confiance des gens en général, en association avec des chevaux de Troie démultiplient la nuisance des hackers. 1 - Attention aux champions de l'ingénierie sociale : tromper ses semblables (engineering social en anglais) est en plein développement. Tromper les gens en leur soutirant des informations sensibles n'est pas un phénomène nouveau. Avant d'être condamné, le hacker Kevin Mitnick s'était illustré en obtenant par téléphone des informations de la part de membres du personnel de grandes entreprises américaines. Aujourd'hui, avec l'email et les réseaux sociaux, ce type de criminels vivent un véritable âge d'or. Une message bien écrit peut servir d'appât pour le phishing et une campagne anti-spam peut véhiculer un cheval de Troie. Et en plus ce sont des moyens bon marché et efficaces pour obtenir des données privées. Le phishing a essentiellement pour objectif d'usurper l'identité de personnes. Les cyber-escrocs cherchent à soutirer des informations privées, comme des numéros de carte de crédit, des mots de passe, des numéros de compte bancaires ou d'autres informations confidentielles sous de faux prétextes, en utilisant de faux messages électroniques ou des fenêtres contextuelles imitant un site web connu. Ces messages, et les sites Web auxquels ils renvoient, sont souvent si proches de l'original que nombre des personnes se laissent prendre. Ils communiquent alors des informations strictement personnelles que les cybercriminels sauront mettre à profit. 2 - Les attaques ciblées sont en augmentation. Les experts en sécurité ont remarqué que les criminels utilisaient une autre méthode appelée "spear phishing" pour pirater des données sensibles et des secrets d'État. A la différence des arnaques au phishing classiques qui cherchent à voler des informations personnelles, le "spear phishing" est un phishing très ciblé qui a pour objectif la violation du système informatique d'une entreprise, d'un organisme, etc. Il consiste en l'envoi de courriers ciblés à en-tête de l'employeur, d'un organisme officiel ou connu ou d'un collègue de travail, et qui ont l'air authentiques. En général ces courriers sont adressés à tous les membres d'une entreprise, d'un organisme gouvernemental, d'une organisation ou d'un groupe donné et leur demandent de s'identifier par un nom d'utilisateur ou un mot de passe. En fait, les informations sur l'expéditeur du courrier ont été falsifiées. Donner un nom d'utilisateur ou un mot de passe, cliquer sur un lien ou ouvrir une pièce jointe dans un courrier électronique, une fenêtre contextuelle ou un site Web factice, peuvent mettre la sécurité d'une entreprise en danger. En analysant certains "spear phishing", Northrop Grumman a récemment fait savoir que la Chine s'était "probablement" engagée dans un programme sophistiqué et à long terme pour récolter des données sensibles aux États-Unis. Selon l'analyste, la méthode s'est ... ... généralisée. Les attaques ciblées peuvent aussi consister à diffuser des Chevaux de Troie programmés pour s'exécuter sur l'ordinateur cible en utilisant des messages e-mail soigneusement élaborés. 3 - Le phishing à large échelle est payant. Certains criminels ratissent plus large avec leurs attaques. Ils choisissent des sujets e-mail qui peuvent intéresser tout le monde : un message ayant pour objet "déclaration de revenus", ou "une photo de toi" trompent facilement la vigilance des destinataires. Plus il y a de victimes qui cliquent sur leurs liens, et installent un logiciel inamical, plus les cybercriminels gagnent de l'argent. Maintenant, "ils agissent à travers les messageries électroniques, ce qui leur permet de toucher un public extrêmement large", relève Gary Warner, directeur de recherche en criminalité informatique à l'Université de Birmingham, Alabama. 4 - Les choses gratuites peuvent coûter cher. Les experts en sécurité ont constaté que les pirates savaient tenter les gens avec des freebies, des applicatifs gratuits. « L'applicatif populaire, c'est l'appât qui fonctionne le mieux,"affirme Sherri Davidoff, spécialiste de l'intrusion et chargée de vérifier l'inviolabilité de certains réseaux d'entreprise. Selon elle, l'une des techniques les plus efficaces consiste à réaliser un faux sondage auprès des employés d'une entreprise en les faisant participer à une loterie factice "pour gagner un iPod". Selon Sherri Davidoff, "près de 30 à 35% des participants donnent leurs noms d'utilisateur et leur mot de passe" en répondant au questionnaire et fournissent ainsi des informations sensibles. 5 - Les gens ont confiance dans leurs amis. Y compris en ceux qui ont été eux-mêmes piratés. Cette confiance a permis au ver Koobface de se répandre via Facebook et a favorisé une vague d'attaques par messages directs sur Twitter. "Ce n'est qu'une étape avant la prochaine série d'attaques d'ingénierie sociale," explique Steve Santorelli, ancien détective de Scotland Yard et aujourd'hui directeur de Team Cymru. Selon lui, la cyber tromperie fait partie de la stratégie des criminels. "Il y a quelques années les pirates étaient plus soucieux de la qualité de leurs codes. Aujourd'hui, les techniques d'intrusion et d'ingénierie sociale sont devenues aussi importantes pour mener leurs actions."