La cybercriminalité est au coeur de toutes les préoccupations. Un colloque intitulé "L'Europe face aux cybermenaces" s'est tenu, mardi, au ministère des Affaires étrangères. La veille, un nouveau rapport de l'OCDE l'avait identifiée comme l'une des cinq plus grandes menaces planant sur l'économie mondiale (voir page 5). Si le monde politique s'empare de la thématique de la sécurité informatique, c'est parce que, depuis quelques mois, chaque jour apporte son lot de cyberattaques. Sony, Citigroup, Google, le Fonds monétaire international, la CIA... Les pirates informatiques frappent partout.

Rentable au plan pénal

"Les cybercriminels ont débuté 2011 en grande pompe, avec 6 millions de logiciels malveillants recensés dans le monde au cours des trois premiers mois de l'année, soit le trimestre le plus actif de l'histoire des logiciels malveillants", observe le fabricant américain d'antivirus McAfee. Et ces cyberattaques ont des conséquences lourdes : les pertes de données - résultant essentiellement d'actes malveillants - ont coûté en moyenne 2,2 millions d'euros aux entreprises qui en ont été victimes en 2010, un montant en hausse de 16 % par rapport à 2009, selon le Ponemon Institute, spécialisé dans la recherche sur la sécurité informatique.

Pourquoi ces piratages, désastreux pour l'économie, se multiplient-ils ? D'abord, la cybercriminalité est le revers de la médaille des nouvelles technologies de la communication, en particulier du paiement en ligne. Le nombre de transactions sur Internet s'est élevé à 340 millions en 2010, en France, soit une envolée de 21 % en l'espace d'un an, d'après la Fédération de l'e-commerce et de la vente à distance. De quoi inciter les criminels à tenter de voler les données bancaires des internautes plutôt que de les détrousser au coin d'une rue.

Ensuite, les entreprises sont de plus en plus nombreuses à adopter la technologie du "cloud computing", qui consiste à ne plus héberger leurs données informatiques en interne mais à les stocker sur les serveurs de géants de l'Internet comme Google. "70% des entreprises et des administrations interrogées ont déjà recours au cloud ou l'expérimentent", affirme une récente enquête réalisée par le fabricant de puces AMD aux Etats-Unis, en Europe et en Asie-Pacifique. Avantageuse sur le plan économique, cette informatique "à distance" soulève en revanche un problème de sécurité, les entreprises devant utiliser Internet pour accéder à leurs données. De fait, 43% des entreprises dans le monde ont déjà rencontré des problèmes de sécurité avec leur fournisseur de services "cloud", selon une étude publiée le 20 juin par le spécialiste des antivirus Trend Micro.

Enfin, si les attaques informatiques connaissent un tel essor, c'est parce qu'il "est plus rentable de s'attaquer au cyberespace, notamment sur le plan pénal", explique le général d'armée Watin-Augouard. "Une intrusion dans un système informatique est passible de deux ans de prison, au maximum", précise Adeline Champagnat, chef adjointe de l'Office central de lutte contre la criminalité liée aux technologies de l'information. Parallèlement, le piratage peut rapporter gros. Les revenus d'un important site Internet de revente de données bancaires piratées (un "shop", dans le jargon des cybercriminels) peuvent s'élever à 200.000 dollars par mois, selon la Compagnie européenne d'intelligence stratégique (CEIS). Au total, la cybercriminalité générerait quelque 1.000 milliards de dollars par an dans le monde, soit des revenus supérieurs à ceux du trafic de drogue, d'après des observations adressées au Sénat américain par Edward Amoroso, responsable des systèmes d'information de l'opérateur américain de télécommunications AT&T. Un véritable business.

____________

Les pirates informatiques opèrent en bandes organisées

Les "hackers" constituent de véritables associations de malfaiteurs, très difficiles à repérer.

Le pirate informatique de 2011 n'opère plus seul dans son coin. Pour la simple raison que, contrairement aux « hackers » adolescents des années 1990, son but n'est pas de relever un défi technique et d'acquérir une certaine célébrité, mais de gagner de l'argent. "Les cybercriminels forment une chaîne, composée d'individus aux compétences multiples, présents dans divers pays", explique la Compagnie européenne d'intelligence stratégique (CEIS). Ce type d'association de malfaiteurs, comme LulzSec - à l'origine des attaques contre Sony, le FBI et la CIA - permet aux cyberattaques de se dérouler très rapidement.

Une fois des données de cartes bancaires, par exemple, dérobées sur un système d'information, les hackers les vendent à des sites de "gros", qui, eux, commercialisent les données volées à des sites de vente au détail, plus accessibles pour le grand public. La vente des données de cartes bancaires s'effectue en passant des petites annonces, exactement comme un internaute lambda qui souhaite vendre son vélo sur eBay.

En revanche, contrairement à ce qui se passe sur eBay, vendeurs et acheteurs ne communiquent pas via le site mais au moyen d'une messagerie instantanée qui chiffre leurs coordonnées, comme iSecu, garantissant ainsi l'anonymat des uns et des autres. De plus, n'est pas membre de ces sites qui veut. "Il faut souvent être recommandé, les cybercriminels étant très suspicieux. Au point de faire appel à des tierces personnes qui garantissent qu'un prétendu hacker en est bien un", détaille la CEIS. De même, les hébergeurs des sites en question, dont beaucoup se trouvent aux Etats-Unis, se doivent d'être "bullet proof" (à l'épreuve des balles), c'est-à-dire qu'ils doivent garantir aux pirates qu'ils ne répondront pas aux requêtes des forces de l'ordre.

Pas question non plus de régler en espèces sonnantes et trébuchantes. La monnaie préférée des cybercriminels est virtuelle et se nomme Liberty Reserve. Basée au Costa Rica, un paradis fiscal peu enclin à la coopération sur le plan pénal, cette société permet aux hackers d'effectuer des transferts d'argent instantanés et anonymes. C'est dire si la cybercriminalité est difficile à tracer, pour les autorités judiciaires.

_____________

La sécurité informatique en vedette à Wall Street

Les cours de Sourcefire et autres Fortinet grimpent de 7% à 50% depuis janvier.

Les investisseurs ont flairé le filon. Les cours des sociétés américaines de sécurité informatique Sourcefire, Websense, Symantec et Fortinet affichent des hausses comprises entre 7% et 50% depuis janvier, quand l'indice S&P 500 des principales capitalisations de la Bourse de New York progresse de 3% seulement. Résultat, les valorisations boursières des sociétés de sécurité informatique explosent. Les titres Sourcefire et Fortinet se paient respectivement 61 et 69 fois le bénéfice net par action estimé pour 2011, selon les données de l'agence Bloomberg, alors que le S&P 500 se traite sur la base d'un multiple de 13.

Pour autant, ces nouvelles stars de Wall Street ne semblent pas avoir épuisé leur potentiel boursier : le courtier Citigroup a un objectif de cours de 32 dollars pour l'action Sourcefire, supérieur de 21% au cours actuel de la société. Mieux, la banque fixe un objectif de 52 dollars au titre Fortinet, soit plus du double de son niveau actuel. Il faut dire que, les cyberattaques se multipliant dans le monde, entreprises et administrations vont être contraintes de revoir la sécurité de leurs systèmes d'informations. En effet, selon une enquête de Fortinet, "60% seulement des entreprises européennes ont procédé à une réévaluation complète de leur stratégie de sécurité informatique, au cours des douze derniers mois". C'est dire si le marché mondial des logiciels de sécurité, dominé par l'américain Symantec avec une part de marché de 19%, a de beaux jours devant lui, après avoir enregistré une sympathique croissance de 12% l'an dernier, à 16,5 milliards de dollars, selon le cabinet Gartner.

Un potentiel qu'EADS entend disputer aux sociétés américaines : dans le cadre de la réorganisation de son portefeuille d'activités de défense et de sécurité (regroupées au sein de la division Cassidian), le groupe européen met l'accent sur la cybersécurité. Cassidian, qui a sécurisé les Jeux olympiques de Pékin en 2008, projette d'investir une centaine de millions d'euros dans la cybersécurité au cours des prochaines années.

C. L. et F. G.

_____________

Pays et entreprises tentent de riposter

Les Etats multiplient les initiatives...

Face à la multiplication des cyberattaques, la France a renforcé, en mai, l'Agence nationale de la sécurité des systèmes d'information (Anssi), dont l'effectif doublera d'ici à la fin 2013, à 360 agents. Une trentaine seront membres d'un groupe d'intervention rapide, sorte de "raid" chargé de parer très vite aux piratages des réseaux de l'Etat. Pour les délits ne concernant pas les seules infrastructures nationales, l'Office central de lutte contre la cybercriminalité liée aux technologies de l'information et de la communication (Ocltic) mène des enquêtes en matière de fraude aux cartes bancaires et autres crimes numériques. Mais la cybercriminalité n'ayant pas de frontières, l'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information, a organisé le 4 novembre 2010 la première simulation de cyberattaque à l'échelle européenne, afin d'évaluer la coopération entre les Etats. En attendant, peut-être, un test en commun avec les États-Unis, qui n'excluent pas de répondre par les armes à des cyberattaques.

En matière de lutte contre le piratage informatique, les entreprises sont loin d'être aussi au point que les États. Pas moins de 16% des sociétés européennes n'ont aucune stratégie de sécurité informatique ou bien ne l'ont pas réexaminée depuis plus de trois ans, selon une étude publiée lundi par le groupe d'informatique Fortinet. Pour les bonnes élèves, "une protection plus complète de leur système d'information, incluant notamment les terminaux mobiles, figure parmi les principales améliorations nécessaires", indique Fortinet. De fait, avec la "consumérisation" de l'informatique, un nombre croissant de collaborateurs importent sur leur lieu de travail leurs propres smartphones et tablettes, ce qui pose un problème évident de sécurité des données. Autre impératif, pour les sociétés collectant et traitant des données bancaires : sécuriser leurs sites au moyen de la norme européenne PCI DSS ("payment card industry data security standard"). Le hic, c'est qu'il s'agit là d'investissements se chiffrant en millions d'euros pour les grandes entreprises...