La cyberdélinquance se développe rapidement. L'ingéniosité des criminels ne rencontre pas de limite. Mais surtout, ils profitent des failles d'une économie trop vite poussée en graine.

La journée, ce technicien en informatique, prestataire dans une institution financière, conçoit consciencieusement des programmes. Le soir, il glisse, subrepticement, quelques discrètes lignes de commandes non prévues par le contrat, un cheval de Troie. De retour à son domicile, il s'installe devant son clavier. Le cheval de Troie lui permet de pénétrer au coeur du système informatique de l'entreprise. Pendant des mois, cet informaticien et son épouse, une commerciale, vont s'employer à détourner les fonds de l'entreprise vers des comptes ouverts dans plusieurs banques par des complices. L'aventure va durer jusqu'au milieu de l'année 1999, lorsque les policiers du Service d'enquêtes sur les fraudes aux technologies de l'information (Sefti), service spécialisé de la préfecture de police de Paris, met fin aux agissements de la bande. En ce début d'année 2000, les policiers sont en passe de boucler cette affaire, symbolique de la cyberdélinquance. Car la cybercriminalité se répand comme une marée mauvaise. En 1994, les services de police enregistrent 72 enquêtes pénales. En 1995, 149 procédures. En 1998, avec 570 dossiers, c'est l'explosion. En janvier 2000, alors qu'ils sont en train de collationner les chiffres de 1999, les policiers prévoient que cette année sera un cru excellent ou dramatique, c'est selon le point de vue. Et encore, ces chiffres ne représentent qu'une toute petite partie de la cybercriminalité, à peine 5 à 10 % du total, selon les estimations les plus fréquentes. Car les entreprises craignent pour leur image de marque, et ne se dirigent pas volontiers vers les commissariats. Pourtant, elles sont les principales proies des « cyberbraqueurs ». A sa préhistoire, les vols, certes d'une ingéniosité stupéfiante, restent tout de même relativement classiques. Lorsque, en décembre 1995, une falsification de deux bandes magnétiques a permis de détourner près de 18 millions de francs à la caisse régionale d'assurance maladie de l'Ile-de-France, et que seule la vigilance d'un employé permet de sauver 20 autres millions, on reste dans le vol assisté par ordinateur. Quelques mois plus tard, des cybervoleurs plus performants se glissent au coeur du coeur des réseaux financiers des réseaux et détournent 60 millions de francs de la City Bank de New York. 

Cyberchantage

Les mêmes cyberbandits se sont glissés à nouveau dans les systèmes de la banque et ont déposé un virus, capable de tout détruire. Ils ont ensuite appelé les responsables et tranquillement leur ont demandé de leur verser une rançon. On appelle cela du CAO : « chantage assisté par ordinateur ». Peu à peu, les cyberbraqueurs découvrent toutes les perspectives ouvertes à leurs activités délictueuses par la « nouvelle économie ». Plein d'humour, certains d'entre eux créent, en 1998, le site du Dominion de Malchizedek. Il présente un territoire imaginaire et souverain avec des offres d'investissements mirifiques, rapporte l'AFP, le 8 décembre. Des entreprises bien naïves souscrivent à l'offre et apportent un million de dollars aux délinquants. Ce n'est que la plus récente des multiples escroqueries dont Internet devient le vecteur. Et qui parfois se conjugue avec l'utilisation de paradis fiscaux, comme l'a montré une affaire mettant en scène une banque créée par des ressortissants russes à Antigua pour éponger des entreprises alléchées par des offres trop tentantes pour être honnêtes. Ils disparaissent ensuite dans les recoins du cyberspace. Si la SEC américaine a déposé en mai 1999 14 plaintes fédérales contre des cyberescrocs aux investissements. La COB n'a pour l'heure constaté aucune déviance en France. Surtout, ils s'attaquent au coeur du coeur de cette « nouvelle économie » : l'information. La Brigade centrale de répression de la criminalité informatique (BCRCI), service spécialisé de la direction centrale de la police judiciaire, est en train de boucler une affaire dans laquelle un informaticien a volé une technologie à une entreprise en passant par le réseau pour la revendre à un concurrent.

L'information est aussi détournée. Un jour de 1998, sur le Web, un communiqué annonce avec un accent de triomphe un accord stratégique entre Pairgain Technologies, une start-up, et un autre groupe. Pour preuve, le texte renvoie le lecteur intéressé sur une home page du site d'information financière Bloomberg. L'action bondit de 30 % et 14 millions de titres s'échangent. Mais la page avait été contrefaite. L'accord n'avait jamais été signé. On suppose que certains ont ramassé quelques dollars dans l'affaire. « Les motivations sont le gain et le voyeurisme, demain cela sera le besoin d'informations », écrivent les auteurs d'un rapport sur la criminalité informatique à l'horizon 2005, destiné au ministère de l'Intérieur. Cette délinquance protéiforme, qui épouse au plus près les potentialités d'Internet et de la nouvelle économie, génère-t-elle pour autant des criminels tout aussi nouveaux ? Evidemment, les pirates informatiques, les fameux hackers, se trouvent aussitôt sur la sellette. Evidemment, ils disposent du savoir-faire indispensable pour attaquer les systèmes informatique. Si la majorité des hackers agissent pour prouver qu'ils sont plus forts que la machine ou pour se faire une bonne publicité, ce sont tout de même certains d'entre eux qui ont été les premiers à détourner de l'argent comme le fameux Vladimir Levin, le cyberbraqueur de la CityBank.

« Hackers », maffias et employés modèles

« Mais il n'y a que dans les films que l'on voit un « hacker » rentrer seul dans un système. Dans la réalité, des complicités sont indispensables pour connaître les mots de passe et les procédures sans être découverts par les systèmes de protection », souligne Pascal Lointier, ingénieur sécurité des systèmes d'information à la compagnie d'assurances ACE, responsable de la commission menaces du Club de la sécurité informatique français (Clusif) et coauteur de l'Infoguerre (Dunod, 1999). Qui dit complicité dit organisation. La criminalité organisée pointe son nez. Le cybercasse de la Cramif a été organisé par un truand belge bien connu des services de police. Selon le FBI, 25 groupes russes spécialisés dans la cybercriminalité seraient installés sur le territoire américain pour écumer le cyberspace. Depuis, les maffieux sont passé à la vitesse supérieure. « Ils tentent de prendre en main certains "hackers" » affirme Philippe Le Guillou, de la BCRCI. Par la menace, le chantage, l'appât du gain ou la flatterie, ces mafieux disposeraient ainsi du matériel humain indispensable. Le matériel informatique, lui, n'a jamais fait défaut. Cependant, les preuves manquent aujourd'hui pour incriminer telle ou telle maffia. « Je n'ai jamais eu de maffieux russe dans mon bureau, les menottes aux poignets », ironise Philippe Le Guillou. A côté de cette cybercriminalité, qui prend parfois un tour fantasmatique, se développe une délinquance beaucoup plus nocive parce qu'insidieuse. « Le cyberbraqueur c'est d'abord un employé qui fait une erreur d'imputation. Il s'aperçoit que personne ne relève son erreur. Il recommence, cette fois en dirigeant l'argent vers son compte », explique Philippe Le Guillou. Selon les statistiques policières, 80 % des attaques proviennent de l'intérieur des entreprises. « Ces techniciens sont certes curieux et un peu vicieux mais ce ne sont pas des génies de l'informatique », souligne Pascal Lointier. Ils profitent finalement de la nouvelle donne économique. « La nouvelle économie, en conduisant les entreprises à ouvrir leurs systèmes d'informations sur l'extérieur, notamment en installant des sites d'information ou de vente en ligne, donne de nombreuses possibilités d'accès à leurs systèmes internes qui peuvent ainsi être attaqués par des cybercriminels », souligne Pascal Antonini, directeur de mission chargé de la sécurité des systèmes d'information chez Ernst et Young. Les délinquants profitent alors de l'absence manifeste de systèmes de sécurité dans de très nombreuses entreprises. 78 % d'entre elles n'auraient aucune défense contre les intrusions, selon le magazine Netcost & Security, spécialisé dans la sécurité informatique. Allan plus loin, certains experts mettent en cause les systèmes eux-mêmes. « Pour s'introduire dans les systèmes d'information, les pirates exploitent le plus souvent les vulnérabilités des logiciels utilisés, comme les systèmes d'exploitation, les navigateurs ou les protocoles de communication. Leur tâche est facilitée par des architectures mal configurées », explique Isabelle Angelo, responsable du centre d'évaluation du Service central de sécurité des systèmes d'information (SCSSI), un organisme dépendant du Premier ministre, où l'on organise les tests de tous les produits informatiques avant de les conseiller aux services de l'Etat. D'autres experts accusent la manière dont les services en ligne ont été conçus. « Les services financiers en ligne, par exemple, présentent certains risques. La sécurité a souvent été sacrifiée à la rapidité d'ouverture des services, afin de répondre au plus vite à la concurrence. Les cyberbraqueurs en profitent pour vider les comptes », souligne un ingénieur sécurité. Au fond, les cyberbraqueurs profitent des fragilités d'une « nouvelle économie » trop vite montée en graine et dont la croissance explosive, la multiplication des produits et services nouveaux empêche de mettre en place toutes les sécurités indispensables à une lutte efficace contre les cyberdélinquants. Seront-elles installées avant que la cyberdélinquance ne devienne un contentieux de masse ?