Cybercriminalité : l’ennemi insaisissable ?

Synonyme de fraudes, d’usurpations d’identité, d’importantes pertes d’argent, la cybercriminalité perturbe l’économie mondiale et cible indifféremment entreprises et individus. Dans le même temps, alors que les agences d’INTERPOL et d’Europol agissent chaque jour pour poursuivre les auteurs, au niveau de la gouvernance mondiale, quelques intentions interrogent…

Par Camille Léveillé

Panorama de la menace

Considérée comme la troisième économie mondiale derrière les Etats-Unis et la Chine, les coûts entraînés par la cybercriminalité atteindront les 10,5 milliards de dollars d’ici 2025, soit 50 fois plus que le revenu annuel de Microsoft pour 2022.¹ C’est en Europe que l’impact économique de la cybercriminalité est le plus important, atteignant 0,84 % du PIB régional. En Amérique du Nord, il est de 0,78 % du PIB régional.²

Les ransomwares et les attaques par phishing sont les deux méthodes préférées des cybercriminels. En septembre dernier, MGM Resorts, une chaîne d’hôtels victime d’un ransomware a vu l’arrêt de ses systèmes informatiques, empêchant la prise de réservations, l’ouverture des chambres ou encore l’utilisation des machines à sous des casinos. L’attaque revendiquée par Alphv et Scattered, deux organisations cybercriminelles, aurait coûté près de 100 millions de dollars. L’entreprise se défend d’avoir payé la rançon. Pire encore, en 2017, le ransomware WannaCry a affecté 200 000 ordinateurs dans 100 pays pour un coût total estimé à 8 milliards de dollars. Ce, en seulement 4 jours. Les “ransomwares-as-a-service” changent encore un peu plus la donne. Désormais, il n’est plus nécessaire d’avoir des compétences techniques pour attaquer un individu ou une entreprise. En quelques clics, n’importe qui peut acheter un kit, accompagné d’une assurance qualité, d’un service d’assistance et d’une garantie de remboursement. « Il s’agit d’une nouvelle tendance que nous observons. Aujourd’hui, il y a un véritable écosystème cybercriminel qui s’organise et se structure pour proposer ses services aux malfaiteurs » confie Emmanuel Kessler, Chef d’équipe prévention-sensibilisation au Cybercrime Center d’Europol. Mais le trophée revient au phishing pour 2023, l’année de tous les records. 1,76 milliard de courriels pirates ont ainsi été diffusés sur l’année, avec une hausse spectaculaire des escroqueries usurpant les réseaux sociaux. Facebook a connu une hausse de 74 %, occupant la première place de ce classement, suivi par Microsoft, Google et Netflix.³ L’explosion de la cybercriminalité liée aux crypto-actifs et NFT n’est pas en reste. Entre janvier et novembre 2023, 1,75 milliard de dollars de crypto-monnaies ont été volées aux utilisateurs grâce à des “rug pulls”. Avec cette méthode aujourd’hui bien identifiée, l’auteur de l’arnaque développe une crypto-monnaie, attire un grand nombre d’investisseurs — ses futures victimes — avant de retirer tous les jetons disponibles, c’est-à-dire arnaquer les investisseurs. C’est ainsi que le memecoin Pepe the Frog (PEPE), qui avait pris d’assaut l’univers crypto en mai dernier, s’est effondré quelques mois plus tard. Pas moins de 16 000 milliards de jetons PEPE, environ 16 millions de dollars, ont été déplacés vers plusieurs plateformes d’échange, comme OKX, Binance, Kucoin ou encore ByBit.⁴ Une méthode qui s’est récemment étendue aux collections de NFT. Sur le même principe, Logan Paul, influenceur américain suivi par plus de 23 millions de personnes, a lancé en 2021 le projet CryptoZoo, prétendant que l’acquisition de ses NFT permettrait aux acheteurs d’obtenir des avantages. Il s’est ensuite volatilisé, transférant les millions amassés vers des portefeuilles de crypto-monnaies.

Problème international, réponse globale

Coup de théâtre. Le 20 février dernier, la National Crime Agency britannique (NCA) en collaboration avec le FBI américain et Europol annonçaient avoir démantelé la plateforme cybercriminelle « la plus nuisible du monde » : Lockbit, spécialiste des ransomwares. Il représentait un quart du marché mondial. « Toute l’infrastructure technique qui permettait de commettre les attaques est maintenant entre les mains des forces de l’ordre. » dévoile Jean-Philippe Lecouffe, directeur exécutif adjoint des opérations d’Europol.⁵ Désormais l’heure est au recueil de données afin d’identifier les auteurs responsables des différentes attaques revendiquées par le groupe. Une opération de plusieurs mois qui a permis de fermer 34 serveurs dans plusieurs pays dont la France. Opération conjointe entre 10 pays, Europol a joué un rôle déterminant. Interpol et Afripol sont également fortement impliquées dans la lutte contre la cybercriminalité, l’Afrique est en effet l’un des terrains de jeux favoris des cybercriminels. En septembre dernier, Africa Cyber Surge II a conduit à l’arrestation de 14 personnes accusées d’escroquerie en ligne dans plusieurs pays dont le Cameroun et le Nigeria. Monde sans frontière et sans couture, l’opération Storm Makers II menée par Interpol en octobre 2023 lors de laquelle 281 personnes ont été mises hors d’état de nuire, fait état de soupçons de trafic d’êtres humains destiné à alimenter la fraude en ligne. Phénomène originaire d’Asie du Sud, les réseaux criminels obligent, par la force, des migrants à travailler dans des centres de cyberfraudes. Les 149 victimes identifiées ont, elles, été mises à l’abri. Millefeuille à plusieurs couches, les stratégies étatiques sont également une des pierres angulaires de la lutte contre la cybercriminalité. En mars 2023, les Etats-Unis ont lancé leur stratégie destinée à porter un coup d’arrêt définitif aux ransomwares. Ils « utiliseront tous les éléments de la puissance nationale » pour combattre les rançongiciels. L’idée principale est de recourir à la coopération internationale et d’isoler les pays qui offriraient un refuge aux criminels. Point de vue partagé par Emmanuel Kessler qui explique : « Le développement d’une coopération internationale repose inévitablement sur une coopération accrue avec les pays où se trouvent les infrastructures d’attaques ou les attaquants ». L’amélioration de la cyber-résilience des infrastructures critiques et le renforcement des enquêtes de ransomware sont également au cœur du programme américain. Enfin, le pays souhaite lutter contre « l’utilisation abusive des monnaies virtuelles pour blanchir les paiements de rançon ».⁶ Et, si les Etats-Unis s’attaquent frontalement aux pays hébergeurs de cybercriminels, c’est bel et bien parce qu’ils sont nombreux. Certains, à l’instar de l’Afrique du Sud, tentent de faire des efforts. Le pays a signé un accord de formation avec la France. Cherchant à se débarrasser de sa réputation de pays refuge, les procureurs sud-africains et l’unité spéciale d’enquête, recevront une formation française en matière de lutte contre la cybercriminalité. L’accord prévoit la création d’une académie visant à former les forces de l’ordre d’Afrique du Sud et des pays voisins aux enjeux et défis posés par la cybercriminalité.

L’humain ne sera plus le maillon faible

Des efforts majeurs certes, mais qui resteront vains si l’humain n’est pas replacé au cœur de la lutte contre la cybercriminalité. Aujourd’hui 98 % des attaques reposent sur l’ingénierie sociale. Une statistique qu’il serait pourtant possible de drastiquement réduire si l’approche “human-centric” était démocratisée. Plutôt que de considérer l’humain comme le maillon faible, il est grand temps de le voir comme le maillon fort de la chaîne. Si tous les employés étaient formés aux techniques d’hameçonnage et à l’ingénierie sociale, ils seraient plus à même d’identifier voire même signaler les activités suspectes. Une stratégie déployée récemment par les agences nationales de cybersécurité, comme le National Cyber Security Centre finlandais ou l’Australian Cyber Security Centre, qui font remonter les nouvelles tendances en termes de cyberattaques y compris les techniques d’ingénierie sociale, permettant aux entreprises et citoyens de s’adapter. Pour Europol, « la sensibilisation et la prévention sont nécessaires et feront l’objet en 2024 d’un engagement accru au sein du centre cybercriminalité d’Europol » précise Emmanuel Kessler. Bruno Tebboul, entrepreneur du numérique et spécialiste en sciences comportementales, prône lui la mise en place d’un cyber framework s’inspirant des recherches en psychologie cognitive sur la personnalité : « Ce framework une fois développé dans sa version « progicialisée » pourrait servir de test de référence pour toutes les organisations qui souhaitent évaluer le risque psychologique de leurs collaborateurs en simulation de cyberattaques par ingénierie sociale ».⁷

Se réveiller de toute urgence

Alors qu’au forum de Davos 2024 la cybercriminalité a été identifiée comme l’une des préoccupations principales, mettant l’accent sur la nécessité d’adresser ces enjeux grâce à une gouvernance internationale, des indicateurs vont dans le sens inverse. En 2019, la Russie a déposé, devant l’ONU, une résolution visant à mettre en place une convention internationale pour lutter contre la cybercriminalité, suscitant à l’époque un tollé du côté des démocraties libérales. Et, pour cause : cette convention contient des dispositions liberticides. « La liste de la définition du cybercrime souhaitée par la Russie et la Chine notamment conduit sans nul doute à la possibilité pour les gouvernements d’opprimer les journalistes ou encore les défenseurs des droits via l’octroi de pouvoir de surveillance sous couvert de lutte contre la cybercriminalité. Ce, sans aucune garantie ni protection adéquate » souligne Ian Tennant, directeur multilatéral de la Global Initiative Against Transnational Cybercrime. Malgré les diverses mises en garde, émanant notamment de la société civile, les négociations autour de cette Convention se poursuivent et viennent d’entrer dans leur dernière phase. Pour l’instant, la définition du cybercrime ne fait toujours pas consensus. « Aujourd’hui, il y a peu de progrès, le compromis est loin. Les garanties offertes ne sont pas assez convaincantes. Je pense que l’UE jouera un rôle décisif dans la prochaine phase des négociations notamment car ses principes en matière de protection des données sont d’un niveau élevé et qu’ils pourraient être utilisés comme standard pour la suite des discussions » poursuit Ian Tennant et d’ajouter : « Cette négociation, bien qu’elle semble porter sur la cybercriminalité, concerne des questions bien plus importantes. Il s’agit des droits de l’homme et de la protection des données personnelles. Jusqu’à présent, ces négociations se déroulent sans grande attention de la part de la communauté internationale alors que le risque qu’elle soit adoptée est bien réel ». Si tous les scénarios semblent aujourd’hui plausibles, impossible de savoir quelle sera l’issue de cette convention. Une chose est pourtant sûre : ce texte « qui pourrait être adopté par un vote ou une série de votes, ressemble plus à un rêve autoritaire qu’à un instrument pour lutter contre la criminalité en ligne et protéger les victimes » souligne Ian Tennant.⁸ Sur fond de négociation autour d’un texte décrié, le retour de la guerre sur le continent européen a ravivé d’importantes tensions. Désormais, l’heure est au jeu du chat et de la souris. La Russie, qui mène des opérations hybrides, toujours sous le seuil de l’escalade, inquiète les autorités nationales françaises. Preuve en est, la récente déclaration de Sébastien Lecornu, ministre des Armées appelant au renforcement des mesures de sécurité face aux menaces de « sabotage et de cyberattaque» russes qui visent son ministère…

1^ https://www.upguard.com/blog/the-impact-of-cybercrime-on-the-economy

2^ https://seon.io/resources/global-cybercrime-report/

3^ https://www.vadesecure.com/fr/blog/phishers-favorites-report-2023

4^ https://journalducoin.com/actualites/pepe-perte-16-millions-dollars/

5^https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/europol-se-felicite-de-l-operation-contre-les-hackers-de-lockbit-on-peut-dire-qu-on-les-a-decapites_6377899.html

6^https://www.lemagit.fr/actualites/365532076/Etats-Unis-une-nouvelle-strategie-de-cybersecurite-qui-vise-les-ransomwares

7^ https://sd-magazine.com/?p=12595

8^https://www.euractiv.fr/section/cybersecurite/news/la-future-convention-de-lonu-sur-la-cybercriminalite-serait-incompatible-avec-les-valeurs-de-lue/