Elle est loin, très loin, l’image de Lisbeth Salander, l’héroïne punk de Millenium imaginée par Stieg Larsson, à la fois psychopathe du hack et badass du féminisme. Navré de vous décevoir, mais le cybercriminel d’aujourd’hui est bien moins sexy. Pire, il ressemble peut-être à votre collègue de bureau.
On l’imagine volontiers asocial, encapuchonné dans son sweat d’ado, avachi sur son fauteuil, plongeant sa tête dans son bol de céréales et n’en ressortant que pour vérifier, d’un œil las, mais étonnamment vivace, ses trois écrans clignotant façon jackpot.
Vous pouvez remballer votre image d’Épinal. La réalité est aussi très éloignée de l’univers de la série Mr Robot dont le héros, Eliot Alderson, cybercriminel surdoué, halluciné et solitaire, évolue dans un underground paranoïaque à l’esthétique très cinématographique. Elle est tristement plus banale, si tant est que cette caricaturale description ait un jour existé ailleurs que dans les fantasmes des technophobes.
Le cybercriminel, c’est vous
Sans vouloir vous offenser, le cybercriminel d’aujourd’hui… nous ressemble. Même si sa vie personnelle est probablement un peu plus sulfureuse que la nôtre, il prend probablement son p’tit déj en jetant un œil sur les informations quotidiennes. Il choisit certainement sa tenue en fonction de la météo, sans se planquer sous un masque de la Casa de papel ni sous un « hoodie » XXL flanqué d’une tête de mort. S’il n’est pas en télétravail et a une petite conscience écolo (à part bien sûr, s’il fait partie de ces membres de la « profession » flambant au volant de grosses voitures de sport), nul doute qu’il choisira le métro ou le vélo pour se rendre… au bureau.
Sur place, il salue ses collègues du coude parce qu’il ne veut pas choper un virus, il prend 15 minutes pour raconter la dernière série sympa à la machine à café et hop, il « entre en réu », comme tout employé qui se respecte, pour faire une petite météo personnelle avec son manager (soleil, nuage ? soleil et nuages ?), avant d’attaquer le vif du sujet : le plan de bataille pour la semaine.
Miroir de ses cibles, le cybercrime s’industrialise
À ce stade du récit, on peut imaginer une organisation cybercriminelle avec ses managers, ses équipes spécialisées en proie aux mêmes difficultés que nos PME : le souci de la rentabilité, des enjeux d’innovation, mais aussi des tensions sociales comme le rappelle cet article de LeMagIT à propos de l’organisation criminelle Conti.
À mesure que nos systèmes d’information communiquent via Internet et s’exposent dans le cloud, que notre vie de bureau et notre vie perso se digitalisent, le métier du pirate s’adapte et s’industrialise. Cloud, SaaS, télétravail, Internet des objets (IoT)… tous ces domaines sont de formidables opportunités pour les cyberattaquants. En plus des infrastructures et des terminaux, ils ciblent de plus en plus les applications métiers qui embarquent encore de nombreuses failles de sécurité. Organisées, outillées, « fordisées », les organisations criminelles se spécialisent aussi par marché tout comme les entreprises traditionnelles pour encore gagner en efficacité.
Si les groupes de cybercriminels ne sont pas tout à fait des entreprises comme les autres, ils fonctionnent pourtant comme des organisations à part entière : comme leurs consœurs légales, ils sont configurés pour maximiser leurs profits. Si elle fait preuve de beaucoup d’imagination pour ses attaques, la cybercriminalité n’a pas eu besoin d’en mobiliser beaucoup pour ses structures d’organisation : elle s’est installée en miroir de ses cibles, reproduisant la division du travail qui y règne.
Car si les opportunités de hacking se multiplient, les entreprises renforcent parallèlement leur bouclier défensif, forçant les cyberattaquants à aiguiser leurs compétences dans certains domaines pour se frayer un chemin dans les failles des Systèmes d’Information. Chacun son rôle : quand Michel va apprendre à négocier une rançon, Louise va se perfectionner dans le vol de données. Quand Adam travaillera ses techniques de manipulation en ingénierie sociale, Laëtitia portera son effort sur sa maîtrise des botnets, ces groupes d’ordinateurs zombies qui, de manière industrielle, cherchent les failles où s’insérer pour ensuite mener une attaque ciblée. Enfin, Michel, Adam, Laëtitia, Louise et tous ces autres cybergénies malfaisants prendront soin de se former aux spécificités métier des secteurs attaqués. Les banques, les institutions, les entreprises industrielles, etc. avec toujours face à eux un dénominateur commun : des murailles, certes, mais toujours lézardées.
« Le process de recrutement se fera en visio »
La seule différence se situe peut-être du côté des offres d’emploi. Louise et Michel ne risquent pas de trouver la perle rare sur LinkedIn. Leurs prochains jobs seront certainement sur le darknet, où le marché de l’emploi ne connaît pas la crise.
Ainsi, selon une étude de Kaspersky, qui a analysé des milliers d’offres d’emploi publiées sur 155 sites du dark web entre mars 2020 et juin 2022, la criminalité en ligne recrute et ne mégote pas sur les salaires. 61 % des offres d’emploi étaient adressées aux développeurs, affichant jusqu’à 18 700 euros par mois (20 000 dollars). Un peu moins bien payés, mais toujours aussi bien dotés, viennent les « spécialistes des attaques » dont les salaires dépassent 14 000 euros par mois. D’autres jolies enveloppes (entre 1 870 et 6 500 euros environ) sont proposées aux designers, administrateurs réseau, analystes, testeurs ou encore rétro-ingénieurs, chargés d’étudier un objet pour en déterminer le fonctionnement interne.
Au même titre que les recruteurs de sociétés plus traditionnelles, les boss du darknet demandent un CV, un portfolio, font passer des tests rémunérés en Bitcoins, voire recrutent en plusieurs étapes, avec une récompense à la clé à chaque stade. Une fois sur quatre, précise l’étude, cela aboutit au classique entretien d’embauche.
Le cybercriminel, notre meilleur ennemi
S’il est clair que le cybercrime sait comment attirer dans ses filets les talents du numérique tentés par le « côté obscur de la Force », la surenchère financière ne devrait pas nous aveugler. Au lieu de détourner les yeux de ce secteur qui prospère, autant le considérer comme un concurrent lambda et traitons-le comme le ferait un parrain de la mafia : « Sois proche de tes amis, et encore plus proche de tes ennemis », nous enseigne Francis Ford Coppola.
Car, dans une nouvelle frontière sans cesse évolutive, cet ennemi pourrait devenir notre meilleur partenaire de cybersécurité. Au lieu de laisser les Escobars du hack devenir de respectables milliardaires, profitons-en pour en faire de même de l’autre côté de la barrière, les 0 en moins sur le compte en banque panaméen, cela va sans dire. D’une certaine manière, le génie des criminels du web nous oblige, en tant que professionnels du numérique, à une exigence perpétuelle d’amélioration continue.
Même si ses analyses peuvent être légèrement affinées, le dernier baromètre CESIN-OpinionWay publié le 30 janvier restitue les tendances cyber issues de 328 comptes dont 50 % de grandes entreprises, 39 % d’ETI et 11 % de PME dont 14 % d’organisations publiques : il révèle que « les cyberattaques réussies sont en baisse. Elles concernent désormais moins d’une entreprise sondée sur deux. La menace est toujours très présente, néanmoins l’anticipation semble porter ses fruits à mesure des politiques de sensibilisation, de l’investissement dans les outils de protection, de la capacité de détection et de gestion des incidents, ou de l’entraînement aux situations de crises. »
Former, sensibiliser, anticiper pour mieux parer les attaques
Le tableau est toutefois loin d’être idyllique et le Cybercrime risque fort de continuer à perturber nos Systèmes d’Information, toujours selon l’étude du CESIN. Dans 60 % des cas, les attaques « impactent fortement le business des entreprises », perturbant notamment la production et faisant baisser, dans 7 % des cas, le chiffre d’affaires. Quant au risque de cyberespionnage, il est encore perçu comme élevé par un nombre important d’organisations (50 %) et semble viser des cibles d’intérêts stratégiques, menaçant d’affecter non seulement l’entreprise elle-même, mais aussi ses partenaires, fournisseurs, prestataires, voire, parfois, les autorités de tutelle.
La négligence et les erreurs de manipulation constituant la principale cause d’incidents (38 %) et la surface d’attaque publique étant en constante augmentation, les entreprises n’ont d’autres choix que de répondre elles-mêmes par une professionnalisation de leur service de Sécurité Informatique.
Alors, cravate contre cravate, par bureaux interposés, qui remportera la cyber-guerre qui se déroule actuellement ? Décidément, la vie de bureau n’est pas si routinière qu’on le croit.
Article initialement paru dans LeMaGIT.