Imperva,un spécialiste de la sécurité des bases de données, est un habitué des « études thématiques » détaillant l’organisation quasi-militaire des cybercriminels. La dernière étude en date, – disponible gratuitement (moyennant une impressionnante quantité d’informations personnelles) nous décrit un monde où les truands sont plus organisés qu’une entreprise aéronautique. Organisés et sachant se diversifier, car les dernières « victimes à la mode » seraient en majorité des sites Universitaires américains et Britanniques. Un rapide GoogleHacking met effectivement en évidence une très nette recrudescence de redirections sauvages ou de pages hébergées à partir de domaines arborant des suffixes .edu ou .ac.uk.
En haut de la pyramide, nous explique l’étude d’Imperva, des chercheurs, chargés de découvrir des failles et exploits, des gardiens de botnets, responsables de la diffusion des œuvres des susmentionnés, et des hommes d’affaires, ceux qui choisissent la « charge utile » que véhiculera l’exploit/troyen/virus. Pour amplifier les efforts de ces travailleurs de l’embrouille, deux innovations techniques majeures : les SEO (Search Engine Optimisation) d’une part, qui placent en tête de liste les sites compromis dès qu’une requête est formulée sur un moteur de recherche, et les logiciels d’automatisation d’attaques qui cherchent systématiquement des mots de passe, des identités, tout type d’information pouvant, par la suite, offrir un accès à l’intérieur d’un site contenant des informations monnayables. Ce qui fait dire aux experts d’Imperva que le monde du hack est en train de subir une véritable « révolution industrielle ». Si les techniques de piratage deviennent effectivement de plus en plus automatisées, parler d’industrialisation peut sembler un peu hâtif et réducteur. Les alliances entre truands sont généralement de courte durée et dictées par la recherche de gains rapides. Les bot herders, spécialistes du spam, professionnels de la pharmacie en ligne, gourous du virus rançonneur ou du scareware, récolteur d’adresses etc ne peuvent être assimilés réellement à une entreprise durable et structurellement stable. C’est précisément cette mobilité et cette absence de structure réelle qui fait leur force et les rend insaisissables.