Terrorisme, escroqueries, vie privée... L’État dresse le bilan des cybermenaces en France

Avec une incursion du « whois » 4
Accès libre
image dediée
Crédits : PeopleImages/iStock
Securité
Guénaël Pépin

Pour le ministère de l'Intérieur, les attaques liées au numérique n'épargnent personne. Dans son dernier rapport, il pondère la menace terroriste en ligne, tout en soulignant les problèmes de la délinquance du quotidien. Il regrette surtout la difficile coopération internationale et les obstacles techniques aux enquêtes.

Il y a une semaine, le ministère de l'Intérieur a publié un large rapport sur l'état de la menace liée au numérique en France. Les enseignements comme les sujets sont nombreux, sur le terrorisme, l'Internet clandestin, le marché de la sécurité, les escroqueries, mais aussi le chiffrement et le « whois ». Un plan d'action est d'ailleurs promis à l'été.

Écrit avec le délégué ministériel aux industries de sécurité et à la lutte contre les cyber menaces (DMISC), Thierry Delville, le texte insiste d'ailleurs beaucoup sur le rôle des plateformes dans la sécurité numérique du pays, de la lutte contre les contenus haineux à l'accès aux communications.

Terrorisme et montée du chiffrement des connexions

Le terrorisme figure bien entendu en première place du rapport. Outre l'utilisation des services de stockage en ligne (drive) pour héberger la propagande, le ministère note l'importance de Telegram dans la diffusion et le ralliement.  « À  la fois hébergeur et réseau social sécurisé offrant une messagerie chiffrée, Telegram demeure le  pilier  de  la  communication  de  Daech,  point  de  lancement  de  tous  les  contenus  qui  se  propagent  par  la  suite » affirme le rapport.  Aussi utilisé par d'autres groupes, le service pâtirait d'une modération « très limitée ».

En dehors de la propagande, les capacités offensives en ligne resteraient limitées, tout comme la portée des attaques déjà subies. Il n'y aurait pas encore de « cyberterrorisme ». En dépit de « la prolifération des armes numériques », ouvrant la voie à des opérations plus complexes. On se souvient entre autres de Vault 7, extrait des coffres de la CIA.

Plus généralement, les autorités pointent une utilisation en hausse des réseaux privés virtuels (VPN) et de Tor, passé de 50 000 à 100 000 utilisateurs. Un phénomène associé à la généralisation du chiffrement du stockage de données et des communications, qui posent de plus en plus de problèmes aux enquêteurs, à en croire le ministère.

Autre problème : la difficulté à accéder aux données hébergées à l'étranger, qui réclament une coopération pénale internationale. Fin 2017, le colonel Nicolas Duvinage nous expliquait que les services étrangers de communication en ligne demandent des commissions rogatoires internationales avant de fournir le moindre contenu, même si certains sont plus coopératifs sur les métadonnées. Le ministère travaille entre autres avec les plateformes sur le partage des données avec les forces de l'ordre (voir notre analyse).

Internet clandestin et marché de la sécurité

Le ministère fournit aussi un regard général sur le darknet (ou Internet clandestin). Entre 2014 et 2017, les stupéfiants représentaient plus de 20 % des « affaires liées au réseau Tor », contre à peine 5 % pour les armes. Les stupéfiants comptaient pour environ 70 % des annonces de feu AlphaBay, fermé en juillet 2017 par le FBI. 25 % des annonces sur la place de marché concernaient la fraude économique, comme le recel de cartes bancaires volées ou de faux documents pour le piratage d'entreprises.

Pour les entreprises et organisations, le danger numérique est bien réel. « Pour les organisations, les atteintes motivées par l’appât du gain, l’espionnage pour obtenir un avantage concurrentiel  ou  le  sabotage  ont  des  incidences  financières  et  réputationnelles » écrit le ministère, qui insiste sur leur responsabilité, en particulier sur la protection des données personnelles. Elles risqueraient même « de disparaître » suite à certaines attaques. Deux solutions : la prévention (donc la formation) et les assurances cyber, un marché en plein développement.

Le marché de la cybersécurité est florissant : 850 entreprises, 60 000 employés, 4,5 milliards d'euros de chiffres d'affaires, avec 80 % de sociétés avec moins d'un million d'euros de revenus annuels. Il croît en moyenne de 12,4 % chaque année... en partie dopé par la réglementation, comme le Règlement général sur la protection des données (RGPD). La prise de conscience monte d'ailleurs en entreprise, entre autres sur l'ingérence et l'espionnage économique, assure le rapport.

Des phénomènes divers et nombreux

La menace prend diverses formes, à la faveur de certaines technologies. Les crypto-monnaies et l'Internet des objets (IoT) sont mis en avant. Les deux phénomènes sont connus : d'un côté, l'émergence surprise du crypto-jacking (le minage discret dans les navigateurs web), de l'autre, la sécurité très limitée des objets connectés, posant un risque concret pour les données personnelles des clients. Le rapport décrit tout de même ces objets comme une opportunité pour les enquêteurs, qui peuvent piocher dans les données personnelles (y compris de géolocalisation).

Les émanations sont, elles, connues : escroqueries, ingénierie sociale (ouverture de message frauduleux, installation de logiciels, exploitation de failles logicielles, typosquatting...), attaques par déni de service distribué (DDoS), botnets (dont les malwares bancaires)... Ces méthodes restent bien vivantes, les spécialistes des botnets créant de plus en plus d'outils d'apprentissage (voire d'intelligence artificielle) pour pister et mettre à mal ces réseaux (voir notre analyse).

« Les attaques de mai et juin 2017, Wannacry et NotPetya, ont eu un aspect inédit par leur dimension massive et internationale, la diversité des victimes touchées, l’ampleur de la propagation et les dommages causés de manière indiscriminée » souligne le rapport. Cette lutte est donc plus importante que jamais.

Bien entendu, le ministère mentionne la « cyber-influence », comme les ingérences électorales et la désinformation, sans grande précision.

En ligne, les escroqueries sont un danger quotidien. En 2017, la base NATINF a reçu plus de 63 500 comptes rendus de police judiciaire liés au « cyber », soit 32 % de plus qu'en 2016. Ils étaient aux deux tiers liés à de l'escroquerie, qui aurait fait 32 000 victimes. Les petites annonces figurent d'ailleurs en bonne place dans ces comptes rendus : 22 % étaient liés à une annonce frauduleuse, et 11 % liés à une annonce mise en ligne par la victime.

Rapport cybermenaces infractions

La plateforme de signalement de contenus ou comportements illicites, PHAROS, a tout de même été moins utilisée : 153 586 signalements, contre 170 712 en 2016. Ici aussi, plus de la moitié concernaient des escroqueries. Pour la pédopornographie, le Centre National d’Analyse d’Images de Pédopornographie (CNAIP) disposait d'une base de 10,3 millions d'images (100 000 ajoutées en 2017) et de 76 600 vidéos (2 500 ajoutées en 2017).

Les entreprises ne sont pas épargnées. Selon une enquête du Club des experts de la sécurité de l'information et du numérique (Cesin), 79 % des entreprises auraient été attaquées en 2017. 73 % auraient reçu des demandes de rançon, y compris via des ransomwares, quand 38 % auraient subi des attaques virales et 30 % des fraudes externes, à égalité avec le vol ou la fuite d'informations.

Un accès au fichier TAJ vendu en ligne

Les atteintes aux « systèmes de traitement automatisé de données » ont légèrement diminué en 2017 : 9 250 sur l'année, soit 3 % de moins. Les accès frauduleux (non autorisés) à ces bases représentent 79 % des atteintes recensées, suivis des atteintes aux données (14 %), alors que les altérations et entraves au fonctionnement de ces systèmes comptent pour 6 % du total. Les atteintes aux données ont d'ailleurs grimpé de 55 % sur un an, quand les entraves ont fondu de moitié.

Concernant les services de l'État, tout n'est pas rose. Via leur veille « en source ouverte », les cybergendarmes du C3N ont découvert une petite annonce pour un accès au fichier TAJ, c'est-à-dire de traitement des antécédents judiciaires. Une base de données en toute logique interdite au public. Le 19 septembre, l'auteur (mineur) et un complice de ce service de l'Internet clandestin ont été entendus et leur matériel saisi.

« L’auteur est un mineur défavorablement connu et déjà condamné pour une fausse alerte à la bombe sur la tour Eiffel et obtention frauduleuse de données personnelles par faux appels téléphoniques à un commissariat de police » ajoute le rapport.

Des actions et des sujets d'inquiétude

Ces derniers mois, les autorités ont multiplié les actions sur le « cyber ». Plateforme Cybermalveillance (Acyma) pour aiguiller les victimes, service Perceval pour répertorier les fraudes à la carte bancaire, certification simplifiée des produits de sécurité avec le « Visa de sécurité ANSSI »... Les rouages sont huilés pour aider l'industrie à se structurer, tout comme la collaboration entre forces de l'ordre et services de renseignement partout sur le territoire.

La lutte contre les contenus illicites, notamment terroristes, a aussi gagné en intensité, que ce soit en France ou en Europe, sous l'impulsion de la Commission européenne. Le groupe de contact permanent avec les plateformes, « mis en place par le ministère après les attentats terroristes de 2015 », continue son travail sur le retrait de ces contenus et l'accès aux données des internautes. Il s'est réuni 12 fois entre mai 2015 et janvier 2018.

Malgré tout, les défis restent nombreux pour les forces de l'ordre. Au premier rang : le chiffrement des données et des communications, contre lequel la Commission européenne a annoncé un large arsenal européen en octobre, entre moyens technique, veille juridique et dialogue avec les plateformes.

« En particulier, il est recommandé de continuer à développer les capacités de déchiffrement d’Europol et de mettre en place un réseau de points d’expertise. La mise en œuvre de ces mesures est attendue en 2018 » retient le ministère français.

Il s'attarde d'ailleurs sur le retrait des coordonnées publiques du « whois » de nombreux noms de domaine, pour respecter le RGPD (voir notre analyse). Une décision de l'organisation en charge des ressources du Net, l'ICANN, qui agace certains États, friands de ces données que les internautes étaient obligés de publier pour obtenir cette présence numérique.

« Sous la supervision du comité permanent de sécurité intérieure (COSI) du  Conseil,  Europol  a  débuté  fin  2017  des  travaux  sur  la  question  de  la  réforme  du  « whois ». Des  discussions  vont  être  initiées  entre  l’Union  européenne  et  [l'ICANN]. » Les autorités veulent maintenir un accès rapide et complet à ces données, pourtant considérées comme peu fiables. La proposition de l'organisation californienne, un (lourd) système d'accréditation, pourrait donc ne pas convenir.

Une coopération internationale toujours difficile

Autre sujet : la coopération internationale. Comme nous l'a expliqué le spécialiste Éric Freyssinet, dans la lutte contre les botnets, les difficultés à travailler entre États profite aux criminels en ligne, bien plus rapides et agiles. Un protocole de coopération est en cours de rédaction depuis septembre entre 56 pays, avec une « grande attention » du ministère. L'enjeu : accélérer les contacts entre les autorités d'un pays et un fournisseur de service d'un autre, ainsi qu'un cadre simplifié. Résultats attendus en 2019.

Les autorités veulent aussi étendre le champ et harmoniser les procédures de l'enquête sous pseudonyme, pour faire « face aux évolutions des modes opératoires criminels sur les darknets ». Parallèlement à l’extension de son champ d’application, il pourrait être procédé à l’harmonisation et la modernisation des régimes procéduraux de l’enquête sous pseudonyme ».

Pêle-mêle, les forces de l'ordre gardent un œil sur bien d'autres problèmes, dont :

  • l'éthique de l'intelligence artificielle,
  • l'augmentation de la surface d'attaque (dont les objets connectés),
  • la protection des espaces « intelligents » (bienvenue aux « smart territoires »),
  • les crypto-monnaies,
  • la prolifération des outils offensifs,
  • les attaques via des outils légitimes (à la chaine logistique corrompue), les places de marché cachées (le darknet),
  • les attaques contre les réseaux bancaires.

L'Intérieur  s'inquiète aussi de l'identité numérique des citoyens, un sujet de souveraineté qui monte ces derniers mois.

Aucun de ces sujets ne semble avoir de réponse simple. Le nœud entre une ANSSI défenseresse et des forces de l'ordre enquêtrices sur le chiffrement en est un symbole. Les prochaines pistes de l'État seront donc déclinées dans les prochains mois, même si les chances de solutions miracles, voire clés en main, apparaissent à cette occasion.


chargement
Chargement des commentaires...