Pour l’instant, tout va bien. Paraphrasant les apprentis parachutistes de la « Rue du Mur » en 1929, l’industrie informatique Française en général, et les entreprises financières en particulier, appliquent consciencieusement la méthode Coué et évitent officiellement d’évaluer les dangers des scams, dérivés de spam et autres conséquences des vols d’identité. Il faut dire que de Brest à Strasbourg, de Lille au Cap Cerbère, les TIC françaises, le cybercommerce et les institutions bancaires sont protégés par un bouclier que les plus grands experts américains nous envient : la langue Française. Véhicule d’une rare complexité, pratiquement aussi difficile à imiter qu’un billet de 100 Euros avec ses fils métalliques et ses encres sympathiques, aux accords et formulations plus minées qu’une plage de débarquement, le François tel qu’on le parle protège la population de notre beau pays contre les hordes de scameurs-spammeurs, les déferlantes de phishers, les nuées de hackers. D’ailleurs, il n’y a point de spam en Gaule. Du pollupostage, certes, parfois quelques tentatives d’hameçonnage dans la langue de la perfide Albion, à la rigueur de vagues escarmouches sur le front du piratage, mais de ces menaces anglo-saxonnes, point.
Pourtant, cela pourrait bien changer en 2009. L’année qui s’achève fut notamment l’occasion de voir fleurir, sur les places de marché, des « listes de sites vulnérables » vendues au poids et triés par zone géographique. Le « cent » d’injections SQL en France vendu moins cher que le même modèle, mais d’origine Allemande, voilà qui résume bien la lucidité des cybercriminels. Leur vision sur l’état effectif du pouvoir d’achat des ménages est bien plus aiguisée que celle d’un Ministre de l’Economie.
Une fois la cible située, encore faut-il savoir l’exploiter. Dancho Danchev nous apprend que, depuis peu, l’on trouve sur le marché de l’escroquerie en ligne, des offres de service de « call center » pratiquant la langue du pays visé. Français, Italien, Allemand, nos opératrices sont là pour mieux vous voler. Jusqu’à présent, le « relais » téléphonique en Français n’était pratiqué que par quelques filières de spécialistes du scam, fortement mâtiné d’accent Ivoirien ou Ghanéen. Totalement inexploitable dans le cadre d’une campagne de phishing de type Crédit Lyonnais ou SNCF. A 9$ ou 6$ l’appel, les choses risquent-elles de changer ? C’est la question que se pose Danchev. Et de conclure : « pour l’instant, les risques demeurent relativement faibles ». Et ce pour une très simple raison, c’est qu’il est pratiquement indispensable de communiquer à cette « société de services » d’un genre nouveau les identités et numéros de téléphones à contacter… autrement dit, la « richesse » de tout bon truand spécialisé dans ce genre de magouille. Or, il est plus difficile d’acquérir la confiance d’un malfrat que d’un rentier… L’on pourrait également ajouter que les tarifs sont un peu surévalués. Car, même en tablant sur un rapport de 1000 Euros par victime (chiffre plus proche de la réalité Américaine qu’Européenne), il faut, pour l’opératrice de phishing, contacter une moyenne de 110 personnes pour que l’opération arrive à équilibre. Or, le pourcentage de réussite de ce genre de campagne est plus proche de 1 pour 1000 que de 1 pour 100.
Reste que les escrocs du Net ont toujours la possibilité d’affiner leurs approches psychologiques afin d’accroître le rendement de leurs opérations. Cette phase d’optimisation doit nécessairement passer par une amélioration de la qualité des courriels d’incitation, lesquels doivent être rédigés dans un Français non seulement irréprochable, mais encore adapté à la circonstance. Un banquier n’écrit pas comme un fonctionnaire du fisc, qui ne rédige pas ses avis comme un cybermarchand. Chaque acteur possède un champ sémantique propre, dont l’usage sous-entend une maîtrise absolue de la langue. Les entreprises de phoning susnommées pourraient-elles offrir ce genre de service ? C’est très probable. Le second écueil, la « prise en otage » des fichiers du client (le phisher), peut être évité à l’aide d’une simple architecture de redirection VoIP réalisable avec un Asterisk. Un « Phishing Call Center As A Service » reposant sur des bases de données protégées et distantes ne présente donc aucune difficulté technique. Lorsque ces deux conditions seront réunies, les banquiers Français auront du souci à se faire : ils auront trouvé des adversaires presque aussi dangereux qu’eux-mêmes et que les Bernard L. Madoff du monde entier.
En attendant ces jours sombres, les cyber-mafieux affinent leurs outils. L’Avert de McAfee, cette semaine, nous offre une analyse de malware « voleur de données géo-localisées » dans un article intitulé From Fake Banking to Regionally Targeted Malware . Le rootkit fouineur d’identités décrit dans les moindres détails correspond à la première étape du montage précédemment décrit. Les informations récoltées suivront ensuite le chemin traditionnel : vente de ces paquets d’identités sur les places de marché mafieuses, puis exploitation de ces données par des spécialistes du phishing ou du détournement de fond par mules interposées, avec ou sans le soutien des fameux « call center » susnommés.