Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gonzague Verdon, Lexsi : Hameçonnage au Canada, les "crosseurs" se multiplient

décembre 2013 par Gonzague Verdon, analyste cybercriminalité chez Lexsi

« 16 cybercriminels ont été récemment arrêtés au Québec dans le cadre de l’opération internationale de police « SpyGlass [1] » pour le vol de dizaines de milliers de cartes bancaires par piratage des terminaux de paiement utilisés par les commerçants. Cette affaire donne l’occasion à notre équipe du Cert-Lexsi à Montréal de revenir sur les spécificités canadiennes d’une autre forme de cybercriminalité bancaire très développée : l’hameçonnage (i.e. phishing). » Il semble de notoriété publique que la cybercriminalité – et notamment le phishing, a augmenté de façon quasi exponentielle cette dernière décennie et ce, à l’échelle internationale. A la question « pourquoi », il sera aisément répondu que c’est par l’explosion des services « en ligne » et du « tout numérique ».

Mais il est tout aussi bienvenu de se questionner sur le « comment » de cette évolution et donc sur ses acteurs. « L’acteur » n’étant pas forcément celui qui « agit », mais également celui qui est victime de la fraude, ou celui par lequel la fraude se diffuse. En effet, comme sur tout type de marché, certains acteurs et régions sont privilégiés :  soit parce que le régime juridique [2] et économique le permet  soit parce que la réputation (faible taux de criminalité, image de modernité-sécurité, confiance dans la numérisation avancée, …) bénéficie au fraudeur. En l’espèce, le Canada répond favorablement à cette deuxième hypothèse, ce qui explique en partie l’explosion des arnaques de type phishing sur le continent nord-américain. En effet, notre pays devient une nouvelle destination privilégiée des cybercriminels ces dernières années, à en croire un rapport trimestriel de Websense [3]. Ainsi verra-t-on aussi Symantec rapporter que 4% des menaces par phishing ciblent la population canadienne. On peut également constater que les derniers chiffres mensuels rapportés par l’APWG placent le Canada sur le podium des pays connaissant une plus forte croissance des attaques de phishing, alternativement en deuxième ou troisième position. La première étant réservée depuis l’origine et de manière ininterrompue à nos voisins américains. Ceci peut laisser augurer une probable évolution pour le Canada dans les années à venir, si l’on considère le cousinage très proche qui existe entre ces deux pays. Partenaires économiques (bancaire ou autres) privilégiés, ils ont d’ailleurs, dans la sphère de la cybersécurité, défini un Plan d’Action commun. Une croissance constante du phénomène serait évidemment logique, eu égard aux inquiétudes formulées ces dernières années dans la presse IT [4] : en 2010 et 2011, le milieu de la sécurité canadien s’alarmait du fait que le Canada devienne, dans un futur proche, un nouveau foyer de criminalité. Et il est vrai que, depuis ce temps, les rapports de différentes organisations [5] spécialisées en sécurité informatique s’accordent à démontrer que cette croissance est réelle et continue, particulièrement en ce qui concerne la compromission de serveurs et de sites légitimes (arnaques de type phishing en tête). On pourra prendre pour exemple le nombre de sites de phishing hébergés sur des serveurs canadiens qui a quadruplé ces dernières années, faisant du Canada le deuxième (Websense) pays au monde hébergeant ce type d’attaques. Si le constat apparaît réel, quelles peuvent en être les causes ? Il semble admis que les criminels ont discerné dans cette nouvelle Terre Promise, un pays relativement vierge et à la réputation favorable, par conséquent propice au lancement de nouvelles attaques. En effet, la « safe reputation » du Canada offre un écran, voir un label, pour les criminels procédant à des attaques s’appuyant sur l’ingénierie sociale, où la confiance occupe une place prépondérante. C’est en ce sens que va l’analyse de Patrick Runald, Directeur de la Recherche pour Websense, lorsqu’il constate que « les pirates essaient de déplacer leurs opérations vers un endroit, comme le Canada, où la réputation en ligne est meilleure [6] ». En second lieu, à l’instar de son voisin américain, le Canada tend de plus en plus à la dématérialisation de ses services (l’administration en tête), pour des enjeux économiques et de qualité du service que permet le numérique. Dans cette optique, notre pays devient une potentielle terre d’accueil pour les cybercriminels. Tout autant qu’elle l’est pour des investisseurs : ainsi voit-on l’hébergeur français OVH ambitionnant de développer sur le continent et le sol canadien le plus gros parc de serveurs au monde. Il faut donc prendre conscience de ce que ces deux évolutions s’opposent tout autant qu’elles s’entretiennent. Mais il n’est pas possible d’écarter l’hypothèse d’une protection inadéquate, ou bien en retard face à certaines menaces chez nous, Canadiens.

C’est justement cette « virginité » de la fraude qui rend le terrain propice, parce que les utilisateurs ont encore peu expérimenté ces attaques. Pendant longtemps, peu sujet à la criminalité informatique (comme à toute autre forme de criminalité), le Canada n’a pas été confronté aux mêmes problématiques de cybercriminalité que son voisin américain ou que certains de ses homologues européens. Néanmoins, les institutions publiques canadiennes, le Gouvernement [7] en tête, mettent en place depuis plusieurs années un dispositif de sensibilisation et de prévention de qualité ; à l’inverse, le privé est encore assez timide sur ces dispositifs, plutôt enclin à la contingence du risque. À en croire les propos [8] du Caporal Louis Robertson [9] de la GRC [10], c’est plutôt sur la question des poursuites engagées que se situe la faiblesse du dispositif gouvernemental, eu égard aux manques d’équipement et de formation, notamment au sein du Centre Antifraude du Canada. Peut-être parce que le Canada se trouve en tête des pays qui hébergent la fraude sans pour autant retrouver ce classement au sein des pays visés par ce type de fraude ? Nous voyons un bémol toutefois à la faiblesse dénoncée du dispositif répressif du Canada, dont la dernière production législative est sa « Loi anti-pourriel [11] ». Celle-ci est probablement l’une des plus avancées au monde (car s’appuyant sur un travail de longue durée, largement inspiré de productions légales internationales) et on peut espérer que son point d’orgue – des sanctions financières élevées [12], constituera un frein efficace dans la lutte contre les spammeurs. Le secteur privé, culturellement hermétique à communiquer sur la fraude, répond au risque en faisant une part belle à la défaillance technique et au système d’assurance, au détriment, non pas de la défaillance humaine (s’apparentant à une sorte d’incapacité face à la menace), mais de la faille humaine (s’apparentant cette fois-ci à la faiblesse du dispositif), instrument majeur de l’attaque par ingénierie sociale. Et, là où la vieille Europe privilégiera, dans la pratique, un défaut de confiance lors de l’analyse de la fraude – par vertueuse méfiance, on verra le Canada attacher un excès de confiance dans la bonne foi citoyenne.

Mais le secteur privé n’est pas mauvais élève pour autant si l’on en croit les efforts sensibles de restructuration de certaines infrastructures majeures, telles que l’hébergeur iweb qui a tout mis en oeuvre ces derniers mois pour offrir un suivi de qualité à ses clients dans ses services d’hébergement mais aussi en matière de réponse à incident ou aux abus. Enfin, et sans oublier les enjeux économiques d’une prise de parts de marché qui ont poussé OVH à s’implanter sur le continent, peut-être pourra-t-on voir l’arrivée de ce nouveau prestataire européen comme un indicateur de choix dans cette volonté de laisser une place aux « savoirs venus d’ailleurs », dans l’ordre d’une saine coopération. Pour conclure, au moins pouvons-nous dire que la menace est réelle et grandissante au Canada, en particulier en matière de phishing. Loin d’être un écueil alarmant et insurmontable, il faut donc voir dans cette menace l’occasion de développer un arsenal de défense efficace qui, servi par la conscience et le sérieux culturels nord-américains, pourrait s’avérer exemplaire dans un futur proche. Et l’appel à des compétences plus expérimentées et à des dispositifs plus avancés, venus d’ailleurs, notamment via des partenariats avec des entreprises étrangères, est un excellent moyen d’affronter des problématiques peu ou mal connues. À ceux qui douteraient de ce futur proche, il n’y aurait, pour les convaincre, qu’à pointer l’attitude responsable des institutions gouvernementales qui multiplient les campagnes de prévention et d’information, véritablement efficaces dans la lutte contre la criminalité en ligne qui, pour une grande part, se satisfait de failles humaines.


[1] https://www.europol.europa.eu/conte...
[2] « … le manque de jurisprudence ainsi que de définitions communes entre le technicien et le magistrat sont autant de limites à la mise en place d’une réelle politique judiciaire de répression de la cybercriminalité »– Maitre Mehdi Kettani, juriste au sein d’Ali Kettani Law Office
[3] Agence de web sécurité pour les entreprises : http://www.websense.com/ _ [4] http://techno.lapresse.ca/nouvelles... et http://www.lesaffaires.com/techno/t...
[5] Kaspersky, par exemple, qui rapporte une augmentation de l’hébergement du phishing au Canada de 386% entre 2011 et 2013
[6] http://www.lesaffaires.com/techno/t...
[7] http://www.sq.gouv.qc.ca/cybercrimi... et http://www.mag-securs.com/News/tabi...
[8] « On n’est pas suffisamment équipé et formé au Canada. Le gouvernement fédéral ne nous donne pas assez de moyens et n’a aucune stratégie pour lutter contre ce type de crimes »
[9] Le Caporal Louis Robertson chargé des enquêtes criminelles contre les fraudes par Internet au Centre antifraude du Canada [10] GRC : Gendarmerie Royale du Canada
[11] http://www.ic.gc.ca/eic/site/ecic-c...
[12] Le montant maximal de la sanction est de 1 000 000 $, dans le cas où l’auteur est une personne physique, et de 10 000 000 $, dans le cas de toute autre personne [Ibid., art. 20(4)]




Voir les articles précédents

    

Voir les articles suivants