Kasperky : « le cybercrime est facile, sûr et paie bien »
Selon les experts de l’éditeur d’anti-malware Karspeky, la cybercriminalité rapporte, au bas mot, dans les 100 Md$ par an. Une activité qui, donc, paie bien, aisément, et en toute sécurité. Surtout pour les gros bonnets qui peuvent même se permettre d’avoir pignon sur rue. Et la riposte, supposant une réelle coopération entre les états, n’est pas prête.
Selon les spécialistes de protection contre les logiciels malveillants – malware – de Kaspersky, la cybercriminalité pourrait, à minima rapporter, mondialement 100 Md$ par an. Costin Raiu, expert en chef de l’éditeur, estime par exemple que le seul marché de l’envoi de pourriels pèse 200 M$ en Russie. Une paille, mais un maillon de l’édifice : « c’est un écosystème complet dans lequel tout type de criminel a un rôle à jouer.
Par exemple, un développeur propose un malware lequel, à son tour, collecte les données de cartes de crédits. Données qui seront revendues et utilisées par des spécialistes de la production de fausses cartes de crédit, etc. » La diffusion du malware peut être assurée par un botnet, un réseau de PC infectés par un virus contrôlé à distance par son auteur : « ils achètent des ressources à des opérateurs de botnet. Dont le développement peut avoir été délocalisé en Chine. […] Le packaging séduisant du pourriel est alors réalisé aux Etats-Unis. » Une mécanique bien huilée, en somme.
Des limites technologiques… difficiles à contrôler Mais qui a ses limites. Technologiques, d’abord : « tous les malwares actuels sont finalement assez comparables dans la mesure où ils peuvent être adaptés à faire n’importe quoi : envoi de pourriels, enregistrement de frappe clavier [ keylogger, NDLR], attaque par déni de services, etc. » Un bon moyen de maximiser les revenus à retirer, potentiellement, d’un simple malware.
Denis Maslennikov, analyste senior Kaspersky, en charge de la mobilité
Mais ces limites ont des airs de front mobile. Et les défenses de ligne Maginot. Pour Costin Raiu comme pour Eugene Kasperksy (le co-fondateur de l'éditeur), le problème est simple : « le cybercrime est facile, rentable et peu risqué. » Pour eux, il faut intervenir sur les trois composantes de cette équation. Problème, comme le souligne Denis Maslennikov, analyste senior chez Kasperky et spécialiste des menaces mobiles, « le logiciel est écrit par des humains ; il est faillible par construction. »
Et là, rien ne va plus : selon Costin Raiu, il est bien sûr possible de produire du code très sûr, « mais c’est au prix de l’utilisabilité et des possibilités de développement. VMS, par exemple, était un système très sûr. Mais il était tellement dur d’en tirer quoi que ce soit qu’il est mort. » Eugène Kaspersky évoque de son côté Symbian 9, qui aurait fait fuir les développeurs parce que… trop sûr. Du coup, pour l’heure, la stratégie est simple : on empile les couches de défense. « Pendant des années, on s’est contenté d’un anti-virus. Puis on a ajouté une liste blanche d’applications. Maintenant, un intègre un bac à sable [ sandbox, en anglais] pour faire tourner les applications suspectes, etc. On élargit et on approfondit les douves autour des murs d’enceinte. Mais le combat n’est toujours pas équitable. »
Eugène Karskerky
Reste que, selon Costin Raiu, « parfois, le code fournit justement des indices sur son auteur. » La solution, pour lui, « c’est de rendre le forfait moins rentable. » Et de pointer la coopération internationale entre forces de l’ordre.
Un problème politique
Une direction dans laquelle pointe aussi Eugène Kaspersky, lequel milite pour un « Interpol de la cybercriminalité : les cybercriminels n’ont pas frontières, contrairement aux forces de l’ordre. C’est pourquoi ils n’ont aucune crainte. Seuls les idiots se font prendre. » Pourquoi une telle situation ? « Les Etats n’ont pas changé leur façon de penser. Les gens sont conservateurs… Les polices locales se renvoient la balle : elles veulent bien collecter de l’information mais pas la partager. » Et puis, aussi, « les gouvernements ne prennent pas au sérieux la question. »
Même si le co-fondateur de l'éditeur note une évolution récente des mentalités : « le message semble aujourd’hui être passé. Les autorités l’évoquent de plus en plus. Le FSB [ex-KGB russe, NDLR] comprend parfaitement la problématique. » Au point que certains, comme le gouvernement chinois – voire français –, pensent à imposer des dispositifs de filtrage sur les PC des consommateurs… Une arme à double tranchant : « celui qui développera un patch [correctif, ou modification avec détournement, dans ce contexte, NDLR] sera millionnaire, » estime Eugène Kasperky.