Des millions de particuliers vérifient leurs comptes et paient leurs factures sur Internet, et tout cela semble marcher comme sur des roulettes. Pourtant, chaque année, des millions d’individus sont escroqués en ligne par l’intermédiaire de moyens de plus en plus sophistiqués qui exploitent tous la même faiblesse : la crédulité humaine.

« Le cybercrime fait courir peu de risques et rapporte gros. Il est fort peu probable que les coupables seront arrêtés un jour », estime Kelly Martin, rédacteur de Security Focus, le magazine en ligne de Symantec. Cette société, dont le siège est à Cupertino, en Californie, est l’un des principaux éditeurs mondiaux de logiciels de sécurité pour les entreprises.

Le bas calcul qui se cache derrière chaque tentative d’hameçonnage (des escrocs se faisant passer pour une banque avec pignon sur rue demandent par courriel des informations confidentielles) ou chaque courriel d’un despote africain demandant de l’aide pour faire transférer 45 millions de dollars en Occident est que quelqu’un, quelque part, tombera dans le piège.

Selon la presse et les médias, le commerce international et électronique des données financières et personnelles volées, sans parler des identités usurpées, est florissant.

Le magazine Consumer Reports affirme que les virus, logiciels espions et arnaques en ligne ont fait perdre en 2005 plus de huit milliards de dollars aux consommateurs américains.

D’après plusieurs articles de presse, les cybercriminels se retrouvent sur les forums Internet ou les sites de vente aux enchères pour échanger des numéros de cartes de crédit dérobées et vendre les moyens de se procurer des données relatives à des comptes bancaires ou des renseignements privés tels que des numéros de sécurité sociale, des codes PIN ou des mots de passe. Bien que beaucoup de ces sites soient fermés le jour où on les découvre, à l’instar de carderplanet.com, d’autres surgissent aussitôt pour prendre leur place.

Les données vendues sont recueillies par des moyens de plus en plus sophistiqués qui, dans certains cas, enregistrent tout ce que l’on tape sur un ordinateur : numéros de comptes, mots de passe, etc. Ensuite, les pirates de l’informatique passent le tout au crible pour en extraire l’information qui les intéresse.

Voici comment David Thomas, pirate repenti reconverti en informateur du FBI, a détaillé à Wired Magazine le modus operandi d’une arnaque. Une fois en possession d’un numéro de carte bancaire volée et encore valable, les voleurs originaires d’Ukraine ont acheté pour 30 000 dollars US d’articles qu’ils ont fait expédier à une boîte postale aux USA. David Thomas a alors récupéré la marchandise et l’a revendue sur eBay, conservant 40 % du produit de la vente et envoyant le reste en Russie.

Ce n’est pas la seule méthode. En juillet 2006, le New York Times racontait comment Shiva Brent Sharma achetait sur Internet des numéros de cartes de crédit volées, changeait les données relatives à leurs propriétaires et se faisait ensuite virer l’argent en usant de fausses identités confirmées par ce qui ressemblait à d’authentiques permis de conduire.

Le jeune homme de 22 ans, qui pouvait gagner 20 000 dollars par jour selon ses dires, purge actuellement une peine de quatre ans de prison à l’établissement pénitentiaire de Mohawk, à Rome, dans l’État de New York.

« Rechercher ces fraudeurs, c’est comme tenter de retrouver des terroristes en Afghanistan », estime Yohai Einav, chef de l’équipe de renseignements sur les fraudes de RSA basée à Tel-Aviv. RSA Security est un fournisseur américain de solutions de sécurité aux entreprises. « On sait qu’ils sont quelque part par là, mais il est presque impossible de trouver leurs grottes, leurs bunkers souterrains. »

Bien qu’il y ait eu des arrestations remarquées de cybercriminels, ceux-ci ne composaient que la partie émergée de l’iceberg, affirment les médias.

Cependant, il n’y a pas que des mauvaises nouvelles. D’après l’étude 2007 sur l’usurpation d’identités menée par le cabinet Javelin Strategy and Research, ce type d’escroquerie a chuté de 12 % l’an dernier aux États-Unis. L’une des premières étapes de tout cybercrime est de prétendre être quelqu’un d’autre. « En 2006, on a usurpé l’identité d’environ 500 000 adultes de moins qu’en 2005 », écrit le rapport.

James Van Dyke, président et fondateur de Javelin, fait l’analyse suivante : « Même si l’usurpation d’identité pose toujours un sérieux problème d’ordre criminel, la nouvelle étude de Javelin montre une baisse importante due directement au changement du comportement des entreprises et des particuliers. Grâce, en partie, à une protection exhaustive des données, au contrôle des fraudes et à l’information des consommateurs, nous disposons aujourd’hui de méthodes plus efficaces pour détecter rapidement, ou empêcher, l’escroquerie avant qu’elle se produise. »

Glossaire

• Bot ou robot IRC : ordinateur contrôlé à distance par un tiers.
• Botnet ou réseau de robots IRC : groupe de milliers, voire de millions d’ordinateurs contrôlés à distance. On estime que les plus grands réseaux regroupent plus de 1,5 million d’ordinateurs. La plupart des activités criminelles sur Internet transitent par ces réseaux.
• DoS (attaque par déni de service) : les pirates se servent des réseaux de robots IRC pour saturer un site Web en envoyant un flux massif de données, le rendant ainsi inaccessible aux internautes. Comme dans le cas d’un rapt, ils demandant souvent une rançon pour « libérer » le site.
• Hameçonnage (phishing) : bientôt connu de tous, le terme décrit le vol d’informations bancaires confidentielles. L’escroc envoie un courriel redirigeant la victime potentielle vers un site factice où on lui demandera de préciser certaines données personnelles. Il ne restera ensuite plus qu’à vider le compte. Selon le rapport sur les tendances du hameçonnage publié par l’Anti-Phishing Working Group en février 2007, on a dénombré 23 610 sites Web factices de ce type ce mois-là. D’après Why Phishing Works? rédigé par des étudiants de Harvard et de l’université de Californie à Berkeley (l’une des premières études universitaires sur ce thème), les meilleurs sites Web de hameçonnage dupent 90 % des internautes.
• Cheval de Troie : comme l’indiquent ses origines dans la mythologie grecque, ce logiciel s’installe sur un ordinateur à l’insu de son utilisateur et permet au pirate d’en prendre le contrôle.
• Enregistreur de frappe : logiciel qui enregistre les touches frappées par l’utilisateur. Cet outil permet d’identifier les sources d’erreur dans un système informatique, mais il sert aussi à espionner l’usage que font les utilisateurs d’un ordinateur. Ce résultat peut être obtenu par la voie du matériel ou la voie du logiciel.