Comment les cybercriminels opèrent-ils ? Le magistrat Robrecht De Keersmaecker explique.

Actualités

Il ne se passe pas un jour sans que notre société ne soit confrontée à une forme de cybercriminalité. Quels sont les phénomènes les plus courants aujourd'hui ? Comment les cybercriminels opèrent-ils ? Et comment pouvez-vous avoir une longueur d'avance sur eux ? Robrecht De Keersmaecker, substitut du procureur général au parquet général d’Anvers et coordinateur principal du réseau d'expertise “cybercriminalité”, partage son expérience.

Robrecht De Keersmaecker : « Aujourd'hui, les cybercriminels ne sont pas toujours de grandes organisations criminelles situées dans de sombres États voyous. Il s'agit tout aussi bien de jeunes gens qui vivent dans un Airbnb, au coin de la rue, et qui ont découvert à quel point il est devenu facile d'escroquer les gens via le phishing. Pour quelques centaines d'euros, vous pouvez acheter du matériel d'hameçonnage avec assistance technique puis quelqu'un arrive pour tout installer et vous donner les explications nécessaires. Ou vous regardez les tutoriels sur YouTube. Pour les cybercriminels, c'est de l'argent facile. Ils n'ont même pas besoin d'aller dehors pour ça. Un trafiquant de drogue doit rouler toute la nuit sous l'orage et la pluie, se tenir en permanence au coin des rues alors qu'à tout moment il peut être attaqué par une bande rivale ou arrêté par la police. Les cybercriminels gagnent des dizaines de milliers d'euros en quelques heures alors que cela ne leur coûte que quelques centaines d'euros en matériel. Ils ont eu une bonne soirée et peuvent passer à autre chose pendant quelques semaines, après quoi ils recommencent. La cybercriminalité ne tourne peut-être pas toujours autour des grandes organisations criminelles, mais les conséquences pour les victimes n'en sont pas moins importantes. Les journaux nous apprennent régulièrement que des personnes ont perdu l'intégralité de leur pension à cause du phishing, par exemple. Ce sont des histoires poignantes. »

Plus rapide qu'un lion

Robrecht : « Les cybercriminels sont toujours à la recherche des victimes les plus faciles. Il s'agit d'être le moins vulnérable possible. Vous n'avez pas besoin de courir plus vite que le lion, vous devez simplement courir plus vite que la personne qui marche à côté de vous. Si cette personne est attrapée par le lion, alors la faim du lion sera satisfaite et il se reposera. Ce n'est pas une chose agréable à dire, mais c'est la réalité. Vous devez juste vous assurer que votre système est plus sûr que celui d'un autre. »

Robrecht : « The Internet of Things nous a également rendus plus vulnérables en tant que personnes et en tant que société. Pourquoi devons-nous être en mesure de contrôler à distance tous nos appareils en appuyant sur un bouton ? Pourquoi ma bouilloire, par exemple, devrait-elle être contrôlable à distance ? Ne puis-je vraiment pas attendre deux minutes avant d'arriver à la maison pour préparer de l'eau chaude pour mon café ou mon thé ? Cela doit-il déjà se faire de la voiture ? Et le motif l'emporte-t-il sur les risques ? Parce que toutes ces choses sont une passerelle vers votre réseau. Non pas qu'il y ait des informations secrètes ou dangereuses sur une bouilloire, mais cela inclut déjà l'accès à votre wifi, par exemple, car il faut bien qu'il y ait une connexion. Ainsi, par cette voie, le criminel peut également accéder à votre réseau wifi, qui peut contenir des systèmes contenant des informations vulnérables. Pour le même prix, ils bloquent votre chauffage en plein hiver, ouvrent vos portes ou pistent vos chaussures de course. S'ils savent quand vous effectuez certaines actions, ils savent parfaitement quand vous êtes ou non à la maison. Les gens sont complètement inconscients des conséquences possibles. Tant que c'est gratuit. Mais s'il est gratuit, cela signifie que vous êtes vous-même le prix. Vos données, vos données privées sont le nouvel or et avec ces données vous payez pour l'utilisation de cette application gratuite. »

La mémoire d'éléphant de l'internet

Pour beaucoup aujourd'hui, le rôle de la vie privée, la façon dont nous traitons nos données et ce que nous partageons sur l'internet est un équilibre entre l'adoption de la technologie numérique et la vigilance en même temps.

Robrecht : « Je me demande comment les jeunes qui grandissent avec les médias sociaux dans notre société actuelle gèrent ces technologies numériques et leur vie privée. Heureusement, j'ai connu l'époque où l'on pouvait se changer et se doucher dans un vestiaire après le sport sans craindre d'être filmé. Aujourd'hui, de nombreux jeunes sont conscients que tout le monde a, à portée de main, un téléphone portable qui pourrait être utilisé pour les filmer. Bien sûr, vous ne voulez pas non plus effrayer les jeunes. Après tout, le monde ne peut qu'être effrayant quand on doit être vigilant pour tout. Mais la réalité est que tout ce qui est filmé et mis en ligne aujourd'hui n'est jamais oublié. L'internet a une mémoire d'éléphant. Il y a des sites web qui ne font rien d'autre qu'archiver tout ce qui se trouve sur internet. »

Pour sensibiliser les gens, la prévention et l'engagement en faveur de la cybersécurité, y compris de la part du ministère public, sont essentiels.

Robrecht : « Nous sommes de grands défenseurs de la prévention et de la cybersécurité. Nous le faisons nous-mêmes en transmettant les informations aux bons partenaires le plus rapidement possible. Parce que la chose la plus importante pour la victime est de récupérer son argent. Lorsqu'un cas de phishing est signalé, nous transférons toujours immédiatement les informations aux banques afin que les fonds puissent être bloqués le plus rapidement possible. Dans 99 % des cas, les banques sont déjà au courant. Heureusement, les gens pensent souvent à informer leur banquier avant de se rendre à la police, ce qui est un bon réflexe. Cependant, toutes les banques ne disposent pas d'un réseau 24 heures sur 24 et 7 jours sur 7 permettant de faire des déclarations. Ce que nous remarquons maintenant, c'est que les attaques de phishing commencent souvent le vendredi soir lors d'un week-end prolongé. Les cybercriminels savent que les banques sont fermées à ce moment-là et que vous ne trouverez pas beaucoup de personnes pour porter plainte. Vous êtes alors à quelques jours de distance et votre argent a disparu depuis longtemps. Certaines banques envisagent actuellement de créer un réseau fonctionnant 24 heures sur 24, mais toutes les banques devraient peut-être se concerter pour créer un réseau commun où les gens pourraient se rendre jour et nuit. Nous travaillons également avec toutes sortes d'autres partenaires : le Centre pour la Cybersécurité Belgique (CCB), les grands opérateurs, les sociétés de navigation... pour couper la chaîne criminelle le plus rapidement possible et, par exemple, bloquer l'accès aux sites de phishing ou ajouter au moins un avertissement. En travaillant de manière préventive, nous évitons un grand nombre de nouvelles victimes potentielles. »

Jeu du chat et de la souris

Mais il existe aussi une cybercriminalité contre laquelle il est difficile de se défendre.

Robrecht : "De toute façon, nous ne pourrons jamais éviter que les organisations criminelles réussissent, car elles deviennent de plus en plus rusées. L’hameçonnage restera une réalité, mais de nouveaux phénomènes apparaissent en même temps. Les cybercriminels sont très modernes et innovants dans leur façon de soutirer de l'argent des comptes des gens. Il suffit de penser au spear phishing et aux menaces avancées persistantes. Le phishing ordinaire consiste à envoyer une masse de courriers et de faux messages dans l'espoir de faire encore quelques victimes. Avec le spear phishing, en revanche, les criminels ciblent une victime spécifique, par exemple une grande entreprise. Ils envoient ensuite de faux messages sur mesure - souvent personnalisés avec ce qu'ils trouvent sur les médias sociaux - aux personnes qui occupent des postes spéciaux dans cette entreprise. Une fois qu'ils sont entrés en contact avec cette personne, ils abusent de leurs pouvoirs pour, par exemple, voler de grosses sommes d'argent ou copier des informations très sensibles. Les menaces persistantes avancées sont également très ciblées, mais elles tentent de pénétrer dans un réseau de manière très discrète afin d'y rester plus longtemps et de se frayer un chemin vers des parties plus intéressantes et plus sensibles du réseau, ce qui exige beaucoup d'efforts de la part de l'organisation criminelle et constitue le plus souvent le terrain de jeu des services de renseignement et des États voyous. Ensuite, il y a la cybercriminalité parrainée par des États, dans laquelle des États connus espèrent s'introduire à un niveau crucial d'une organisation afin d'accéder à des informations très sensibles ou de paralyser certains processus critiques pour leur activité. La fraude émotionnelle, quant à elle, est un phénomène qui exploite nos relations les plus intimes. Les criminels jouent ensuite sur les sentiments de leurs victimes pour leur soutirer de l'argent. Comme les gens se voient moins dans la vie réelle et davantage sous forme numérique, il est plus facile de tromper les gens de cette manière. Par ailleurs, les attaques ransomware continuent d'être un véritable fléau. Ces attaquent sont également de plus en plus intelligentes. Au début, ils vous ont dit de sauvegarder vos données. C'est très bien, mais de nos jours il existe des systèmes qui se cachent pendant un certain temps et qui observent lorsque des sauvegardes sont effectuées via des connexions réseau. Lorsque les connexions au réseau sont établies, les criminels cryptent immédiatement les sauvegardes également. C'est un jeu du chat et de la souris où il y a tant d'argent à gagner. La combinaison du doxing et du ransomware est également nouvelle : elle rend les données inaccessibles à la victime tout en menaçant de rendre publiques des données sensibles en ligne. Les cybercriminels suivent les nouvelles tendances. La technologie ne fait que suivre la société. Il est donc extrêmement important, en tant qu'entreprise, de veiller à ce que votre cybersécurité soit en alerte, afin de rendre l'accès le plus difficile possible aux organisations criminelles."

Nous avons tout intérêt à ce que les poursuites soient bien menées. Si vous n'avez pas de poursuites et ne pouvez pas toucher les groupes à l'origine de la cybercriminalité, vous vous retrouvez à éponger l'eau. - Robrecht De Keersmaecker -substitut du procureur général (parquet général d’Anvers)

 

Identifier et poursuivre

Outre l'accent mis sur la prévention et la cybersécurité, les poursuites judiciaires constituent la principale tâche du ministère public pour lutter contre la cybercriminalité.

Robrecht : "Nous avons tout intérêt à ce que les poursuites soient bien menées. Si vous n'avez pas de poursuites et ne pouvez pas toucher les groupes à l'origine de la cybercriminalité, vous vous retrouvez à éponger l'eau, pour ainsi dire. Il ne suffit donc pas de parier sur la recherche de l’argent. Car que se passe-t-il alors ? Des tentatives sont faites en permanence pour mettre des URL hors ligne le plus rapidement possible et bloquer les transferts effectués depuis les comptes de la victime vers des achats effectués avec des cartes de paiement sécurisé, par exemple. Mais cela prend énormément de temps et est devenu pratiquement un travail quotidien pour les magistrats de certains parquets, les empêchant de s'atteler à leur véritable tâche principale : engager des poursuites. Notre ambition doit rester de pouvoir atteindre ces groupes sous-jacents. Car tant que nous ne pourrons pas identifier et poursuivre ces groupes de délinquants, ils continueront à lancer une nouvelle campagne chaque semaine et à créer de nouvelles victimes."

Cependant, l'internationalisation de la cybercriminalité ne facilite pas toujours l'identification efficace de ses auteurs.

Robrecht : « De nombreux cybercriminels opèrent depuis l'étranger, ce qui ne facilite pas leur identification. En fait, de nos jours, les auteurs utilisent également la technologie pour rendre cette identification plus difficile, il suffit de penser aux VPN, aux proxys, aux services de courrier anonyme, aux sociétés d'hébergement où un certain "Mickey Mouse" louera un serveur sans être interrogé. Des cartes SIM achetées par dizaines ou centaines par une seule personne, à l'aide d'une fausse carte d'identité qui sert à enregistrer les cartes SIM. Si le responsable du magasin n'est pas critique, nous avons une centaine de cartes SIM qui mènent à la mauvaise personne et l'enquête est presque terminée avant même d'avoir commencé. Heureusement, dans de nombreux cas, nous pouvons atteindre les organisations criminelles et procéder à une arrestation. En fait, les criminels doivent toujours avoir de la chance, nous ne devons avoir de la chance qu'une fois. Il nous suffit de voir une fois un mouvement suspect, ou de faire un contrôle où nous trouvons quelqu'un avec une poche pleine de cartes bancaires, pour passer à l'action. »

Futur

Pour lutter contre la cybercriminalité de manière encore plus ciblée et efficace, M. Robrecht estime qu'il faut renforcer les capacités de la police.

Robrecht : "Au sein de la magistrature, il y a un redressement depuis plusieurs années. Il y a de plus en plus de magistrats qui s'intéressent à la cybercriminalité et il existe un très bon programme de formation de l'Institut de Formation Judiciaire (IFJ). Le seul problème est que les magistrats ne travaillent pas exclusivement autour des affaires de cybercriminalité, mais sont également chargés d'autres affaires comme le droit commun. C'est parce que trop peu de cas de cybercriminalité nous parviennent. Cela est dû au fait que les capacités d'investigation de la police sont insuffisantes. Ils doivent investir dans des personnes supplémentaires dans la police et, en même temps, ils doivent oser (re)déplacer les capacités en interne. Beaucoup de cas de cybercriminalité arrivent ? Vous devriez alors pouvoir en déployer davantage sur de nouveaux profils ou recycler les profils existants afin de pouvoir les cibler. Mais la cuisine, bien sûr, coûte de l'argent."

En outre, plusieurs pays travaillent actuellement sur des projets impliquant des pirates éthiques, y compris en collaboration avec des entreprises. En Belgique, ce phénomène est actuellement beaucoup moins ancré.

Robrecht : « Dans plusieurs pays, il existe déjà des projets de bug bounty. Dans notre pays, le piratage est un crime, quelle que soit son intention. Si vous accédez sciemment à un système pour lequel vous savez que vous n'êtes pas autorisé, quelles que soient vos bonnes intentions, vous êtes punissable. À l'époque, le législateur a délibérément choisi de ne pas exiger une intention spéciale à cet égard. Parce que sinon ce serait facile : l'absence d'intention n'est pas là, cet homme voulait seulement faire le bien, donc il n'a pas commis le crime. Le CCB veut sortir le piratage éthique du droit pénal. Au sein du réseau d'expertise Cybercriminalité, nous ne sommes pas immédiatement favorables à cette mesure. Nous avons toujours suggéré aux entreprises qui souhaitent autoriser le piratage éthique de travailler dans le cadre d'une politique ouverte. Ils peuvent indiquer sur leur site web qu'ils autorisent le piratage éthique et mentionner une liste de conditions à remplir. Vous avez alors une sorte d'accord tacite de volonté. Le CCB pourrait développer un modèle générique qui pourrait être utilisé par les petites entreprises qui n'ont pas la capacité de développer une telle politique. Ces entreprises pourraient alors indiquer sur leur site web qu'elles suivent le protocole de "piratage éthique" du CCB. Si vous vous engagez dans cette voie, l'entreprise en question accepte que vous accédiez à ses systèmes dans le cadre du piratage éthique. Ces parcours peuvent être utiles, car les meilleurs forestiers ont tendance à être d'anciens braconniers. »

Robrecht : « Pour éviter les victimes, le message le plus important de cette histoire est le suivant : si c'est trop beau pour être vrai, c'est généralement faux. Et réfléchissez quatre fois avant de cliquer sur un lien. »

 

 

Actualités

Autres Actualités