De l’arnaque entre particuliers aux mafias de l’Est qui aspirent des milliers de données personnelles, en passant par des pratiques de fichage commerciales un peu limites, le paysage du cybercrime est varié.
Le gouvernement a beaucoup communiqué sur la cyberpédophilie ou sur l’utilisation du Net par les terroristes. L’essentiel de la cybercriminalité ne réside pourtant pas dans ces domaines spectaculaires. Un tour d’horizon – non exhaustif – des nouvelles techniques de délinquance sur la Toile permet de découvrir des méthodes moins attendues mais tout aussi redoutables. Du plus rudimentaire au plus sophistiqué.
La fraude nigériane a fait œuvre de pionnière. 70% des e-mails envoyés du Nigeria aux États-Unis sont frauduleux. D’où l’appellation.
Le scénario est le suivant : l’internaute reçoit un e-mail déchirant qui va l’amener peut-être à livrer des informations confidentielles sur ses comptes bancaires. Du genre : « Je m’appelle M. Willy Peterson, employé à Cahoot Bank London PLC en tant qu’officier du département d’audit et de gestion de compte étrangers. Je viens très respectueusement solliciter votre collaboration pour une transaction. En effet, j’ai découvert la souscription d’un de nos clients décédés avec toute sa famille le 1er juin 2009, dans l’accident aérien d’Air France du vol 447 en provenance du Brésil vers la France. Il était Américain, il s’appelait M. Michael Harris, il était bailleur dans le domaine de l’agriculture, il allait régulièrement en Afrique de l’Ouest, notamment au Burkina Faso. À cet effet, le client défunt avait ouvert un compte au Burkina Faso à la Banque agricole et commerciale du Burkina (BACB). Je vous contacte à présent afin que vous interveniez en tant que partenaire investisseur de M. Michael Harris. » Évidemment, le mystérieux interlocuteur s’engage à reverser à l’internaute naïf une part du magot. « Je vous fournirai plus de détails sur l’opération dès que je recevrai votre accord par rapport à la proposition. Il s’agit de la somme de 3 700 000 £, et j’accepte de vous donner les 40 % de cette somme, pour votre participation. »
Parmi les escroqueries les plus juteuses sur Internet, le phishing occupe une place de choix.
Dérivée du terme anglais fishing, cette technique de « pêche » particulière consiste à exploiter la crédulité des internautes pour leur extorquer des données confidentielles.
Récemment, les caisses d’allocations familiales (CAF) ont été victimes de cette pratique un peu rudimentaire, mais visiblement rémunératrice. Des milliers de personnes ont ainsi reçu un e-mail à en-tête « CAF » indiquant qu’à la suite d’une erreur, il leur restait dû à la caisse 161,42 euros. Le courriel invitait ensuite à cliquer sur un site bidon, imité à la perfection : entrez vos données personnelles et vos coordonnées bancaires, était-il indiqué, afin que votre créance soit restituée. Sur 100.000 e-mails envoyés en un clic, il suffit d’un pourcentage minime de réponses pour assurer un bon retour sur investissement…
Le carding consiste à pirater les numéros de cartes bancaires, la plupart du temps via des logiciels malveillants (cheval de Troie [1], keylogger [2].
Ces précieuses coordonnées sont ensuite revendues puis exploitées à travers des sociétés d’achat en ligne factices. Ces dernières ne livreront jamais aucune marchandise, mais sont capables d’enregistrer de vraies transactions. Pour ne pas être identifiés, les cyberdétrousseurs ont recours à des réseaux d’ordinateurs zombies qui travaillent pour eux à distance. Sans qu’il puisse s’en douter, l’internaute participe à une vaste entreprise de vol de données bancaires, via son ordinateur commandé à distance.
Début mars, la police espagnole a ainsi arrêté trois suspects dans le cadre d’une enquête visant à démanteler le botnet Mariposa qui compterait quelque 12 millions de machines zombies dans le monde. Le mois dernier, Vodafone s’est aperçu qu’une puce électronique infectée avait été insérée à son insu dans un lot de près de 3 000 téléphones mobiles en provenance d’Espagne. Le logiciel espion permettait de capter toutes les données personnelles de l’utilisateur. Selon certains spécialistes, nombre de claviers d’ordinateurs de seconde catégorie seraient bien souvent porteurs de telles puces infectées. Avis aux amateurs.
Pour se débarrasser de leurs opposants, les dictateurs mal dégrossis continuent de se servir de leur bonne vieille potence alors qu’il est si simple, en quelques clics, de détruire une réputation. Faux profils Facebook, photomontages, forums de discussion fictifs… l’opposant se retrouve à tenir des propos dégradants.
À l’inverse, ceux qui ont quelques raisons d’avoir envie de faire table rase du passé font de plus en plus appel à des « enfouisseurs » ou « déréférenceurs » qui, en échange d’une raisonnable obole, refont une virginité sur la Toile.
Sur le portail du Figaro.fr, une fenêtre attire l’oeil : « Simulateur loi Scellier - Calculez vos économies d’impôt ». A priori, un service gratuit que rend le quotidien à son lecteur, en partenariat avec Nexity, la filiale immobilière du Groupe Caisse d’épargne.
Sauf qu’en cliquant, l’internaute se voit demander de remplir un questionnaire on ne peut plus détaillé sur ses revenus, sa capacité mensuelle d’épargne, etc. La démarche a surtout pour objectif d’accumuler des données personnelles sur de possibles clients, qui pourront être revendues à des régies publicitaires et classées selon des « sociotypes » très précis. Sans que l’internaute en soit vraiment conscient.
En théorie, la Commission nationale informatique et libertés (Cnil) lutte contre ce genre de techniques. En pratique, cet organisme d’État ne fait rien, ou presque. L’essentiel de ces bases de données est stocké sur des serveurs à l’étranger. Et ces méthodes appartiennent aux zones grises du droit. « Nous sommes dans un flou juridique que les États ne sont pas très pressés de préciser », affirme Jean-Claude Gorichon, président sortant de l’Afnic (Association française des noms de domaine). Pourquoi une telle inertie ? Des intérêts économiques colossaux ne sont sans doute pas étrangers au peu d’empressement du législateur.
[1] Cheval de Troie : programme caché qui effectue des opérations à l’insu de l’utilisateur. Il peut copier des fichiers, les détruire, les modifier
[2] Keylogger : logiciel espion qui enregistre au fur et à mesure tout ce qu’écrit l’utilisateur sur son ordinateur et transmet via un réseau
merci à vous pour ces excellentes infos ; j’ai déjà personnellement reçu plusieurs de ces filoutages : mon compte free par trois fois, disait le message, aurait ete mal debité, etc…. nesuite mes amis persos etaient dans la dèche à l’autre bout du monde, et enfin un produit miracle acheté en ligne et jamais arrivé…
Continuez, nous vous suivons
Bonjour,
Merci de sensibiliser la cyber-population à ces dangers. Il y a tellement à dire qu’une chronique pourrait être tenue sur ce thème (d’ailleurs si vous y pensez je postule ! ^^).
La plupart des gens ignorent les dangers existant alimentés par leur propre négligence :
faiblesse de leur mot de passe : "Mot de passe trop simple, source première de faille de sécurité" (http://yosh.over-blog.com/article-mot-de-passe-trop-simple-source-premiere-de-faille-de-securite-43505417.html)
Ou même comment réagir : "Un portail internet pour signaler les Cyber-arnaques" (http://yosh.over-blog.com/article-35831946.html) quel site consulter pour déterminer si le mail reçu est un hoax (http://www.hoaxbuster.com/hoaxcenter/informations.php) … etc.
Je profite de ce premier commentaire à votre attention pour vous encourager : Bravo pour votre travail et combat. Sachez que vos écrits ne se perdent pas dans le néant, ils sont lus et appréciés.