Alors que l’économie tente désespérément de se rétablir, un secteur lucratif a le vent en poupe : la criminalité sur Internet. Les entreprises criminelles créent de nouveaux modèles d’entreprise en concertation avec les créateurs de botnets. Il s’agit de réseaux d’ordinateurs infectés qui se mettent au service des pirates informatiques. Un autre domaine d’innovation concerne les « botnets en tant que service », une version plus inquiétante de la tendance du logiciel en tant que service qui s’est propagée dans le secteur technologique. De nombreuses indications nous amènent à conclure que les criminels copient les pratiques adoptées avec succès par des entreprises parfaitement légitimes et ce, en vue d’engranger des bénéfices et de faire croître leur entreprise frauduleuse.
Les innovations techniques et les capacités des criminels sur Internet sont remarquables. Les criminels observent de près les chercheurs en matière de sécurité et tirent de nombreux enseignements de leurs méthodes de réplique aux attaques, et mettent ainsi les connaissances des « bons » à profit afin que leur prochaine attaque puisse passer outre les protections existantes. Les « mauvais » collaborent de façon agressive par le biais de ventes mutuelles de leurs logiciels et du développement d’une expertise dans diverses tactiques et technologies. En raison de cette spécialisation et du nombre important d’acteurs dans ce domaine, il devient de plus en plus difficile de mettre un terme aux activités illégales.
Risques sécuritaires en ligne
Le bout de code infecté qui serait à l’origine des plus importants ravages au cours de la première moitié de l’année 2009 reposait sur une méthode d’attaque plus ancienne qui aurait dû être facilement détectée et éliminée. La propagation rapide de malware tels que Conficker souligne la nécessité d’une gestion des risques et des menaces qui détermine de façon intelligente que les attaques peuvent provenir de n’importe quel endroit d’un réseau. La formation des utilisateurs aux risques liés à la sécurité permet de réduire la menace du spamdexing (référencement abusif), mais les entreprises ne peuvent pas partir du principe que les employés opèreront toujours le bon choix en ce qui concerne les sites web dignes de confiance. Pour garantir une protection plus poussée, les entreprises ont besoin de solutions de sécurité qui combinent le traditionnel filtrage d’URL, le filtrage par réputation, le filtrage de malware et la sécurisation des données.
Menaces envers les appareils mobiles : arnaques par messages textuels
Les arnaques par messages textuels qui ciblent les utilisateurs d’appareils mobiles portables tels que des téléphones portables et des smart phones deviennent une tactique de fraude de plus en plus courante. Au moins deux ou trois nouvelles campagnes ont été recensées chaque semaine depuis le début de l’année 2009. Cette hausse de la fréquence peut être expliquée en partie par la récession économique, mais également par la quantité phénoménale - et sans cesse croissante -d’utilisateurs d’appareils mobiles, qui attirent irrémédiablement les cybercriminels cherchant à exploiter ce nouveau domaine de fraude. De nombreuses arnaques par message texte se basent sur les tactiques de réseaux sociaux en vue de faire croire aux victimes qu’elles doivent communiquer leurs informations personnelles ou leur numéro de carte de crédit en achetant des produits ou services sans valeur (ou inexistants) ou en faisant miroiter le gain d’un prix. De plus en plus de criminels profitent également de la popularité des opérations bancaires en ligne et s’attaquent directement à l’argent des victimes en ciblant spécifiquement leurs comptes à vue et leurs codes d’identification personnels (PIN) au moyen de messages texte frauduleux très bien rédigés et localisés et ce, sans laisser de traces.
Pertes de données
L’actuelle récession a ouvert de nouvelles perspectives financières à au moins un autre groupe d’ « entrepreneurs » : les usurpateurs d’identités. Comme cela avait été prévu dans le rapport de sécurité annuel 2008 de Cisco, les arnaques par le biais de pourriels, de phishing et de messages texte connaissent une croissance marquée et deviennent de plus en plus sophistiquées. Nombre de ces campagnes sont conçues et mises en œuvre en vue d’usurper des identités qui serviront à ouvrir de nouveaux comptes financiers ou à utiliser frauduleusement des comptes existants.
Les chercheurs affirment que la catégorie d’âge des 18 - 25 ans est la plus susceptible d’être victime d’une usurpation d’identité à l’heure actuelle. Cela est principalement imputable à l’attrait de la « Génération Y » pour les réseaux sociaux. Les usurpateurs d’identité et les pirates s’attaquent souvent à ces sites dans le but de trouver les codes donnant accès à l’identité et aux finances d’un utilisateur. Les profils des utilisateurs peuvent révéler de nombreuses informations personnelles - nom, date de naissance, ville, voire des numéros de téléphone - qui suffisent souvent à des criminels futés pour réussir une fraude. Certains ont même poussé le vice jusqu’à contacter directement des amis ou des membres de la famille de la victime pour réclamer de l’argent.
Au sein de l’organisation
Les fraudes, piratages et usurpations d’identités réalisés par des personnes présentes au sein de l’entreprise constituent des menaces réelles pour la sécurité et peuvent s’avérer particulièrement néfastes pour une organisation étant donné que ces personnes connaissent les failles en matière de sécurité ainsi que la meilleure façon de les exploiter. Compte tenu des mauvaises circonstances économiques actuelles, qui ont entraîné de nombreuses pertes d’emplois ou un grand mécontentement - ou dans le cas de personnes qui préparent des pièges à l’avance pour se venger des employeurs -, les menaces provenant de l’intérieur devraient connaître une recrudescence dans les mois à venir. Le « Identity Theft Resource Center » estime qu’en 2008, près d’un quart des incidents recensés impliquant des institutions financières étaient l’œuvre de sources internes. Il semblerait que cette tendance se poursuive en 2009. Il est vivement conseillé aux organisations concernées d’adopter des politiques de sécurité supplémentaires pour les données sensibles et d’être particulièrement vigilantes par rapport aux conditions et aux niveaux d’accès aux données sensibles.
Mise en conformité
Au niveau mondial, les initiatives législatives et industrielles visant à sécuriser davantage le trafic sur le réseau et à informer les victimes de failles sécuritaires se multiplient. Cette démarche engendre des contraintes supplémentaires - en termes d’argent, de temps et de ressources humaines - pour les entreprises qui s’efforcent déjà de respecter d’autres lois, standards ou meilleures pratiques existants tels que le standard de sécurité des données de l’industrie des cartes de paiement (PCI DSS) à vocation industrielle, l’HIPAA, la loi Gramm-Leach-Bliley (GLB) et la loi Sarbanes-Oxley (SOX).
Les entreprises devraient également consacrer davantage de moyens à l’information de leurs employés et contrôler en permanence le trafic des e-mails et les connexions Internet pour s’assurer que des informations sensibles ne soient pas partagées par inadvertance. De nombreuses organisations ont mis en œuvre des programmes formels de prévention de perte de données (DLP) en vue d’améliorer la sécurité de leurs données, que celles-ci soient stockées, en cours d’utilisation ou en transit sur le réseau. Les politiques DLP constituent un élément indispensable pour les audits de conformité. Un nombre sans cesse croissant d’entreprises se rend également compte de l’importance de ces politiques dans le cas où les choses tournent mal - par exemple, une faille au niveau des données qui compromet les numéros de carte de crédit de certains clients - car les entreprises pourront prouver aux victimes, aux avocats, aux départements juridiques, aux actionnaires et aux services autorisés qu’elles avaient pris les mesures nécessaires pour éviter un tel événement.
Loading ...
Les commentaires favoris