Chaque année, l’Avert Lab de McAfee se livre au jeu de la boule de cristal, et tente de prévoir les grandes tendances à venir en matière de délinquance informatique. A quelle sauce allons-nous être mangés ?
Sauce financière, avant tout.Car, estiment les experts du laboratoire de recherche, la crise économique mondiale actuelle va très probablement se révéler un terreau favorable au développement de fausses « bonnes affaires », allant de l’investissement mirifique à la transaction frauduleuse, en passant par les embrouilles légales les plus sombres. Croissance également sur le marché du travail… des mules. Face à un taux de chômage croissant, il ne sera bientôt pas très difficile de recruter des hommes de paille chargés du blanchiment d’argent sale, d’exploitation de vol d’identité bancaire et autres achats illégaux masqués par les activités d’un prête-nom complaisant. Entre l’hypothétique menace d’une condamnation pour escroquerie et la certitude immédiate d’une visite d’huissier, les scrupules ne pèsent jamais très lourds.
Les méthodes d’attaques, quand à elles, ont déjà entamé leur changement, et ces tendances ne pourront que s’accentuer dans les mois à venir. A commencer par une nette augmentation des vecteurs d’attaque injectés sur les serveurs. Côté postes clients, les mécanismes développés deviennent de plus en plus subtils. Certains virus (troyens, rootkits …) évitent certaines configurations. Les chercheurs du MSRC de Microsoft ont à ce sujet signalé que certaines versions de Downadup, par exemple, évitaient d’infecter les ordinateurs Russes ou Ukrainies. Principalement pour ne pas éveiller la ire des autorités locales et jouer sur l’impunité d’une totale « extraterritorialité de l’attaquant par rapport à sa victime ». Autres améliorations techniques, l’usage massif de techniques aléatoires ou à grands nombres de changements, dans les noms de serveurs de mise à niveau, dans les adresses mémoires, dans l’apparence binaire, dans les liens Internet utilisés, dans les protocoles de routage des postes zombifiés (protocoles P2P), dans les localisations IP des serveurs d’attaque –fast flux notamment-
Encore plus inquiétantes –mais est-ce parce qu’inconsciemment nul ne doute de la véracité de ces prédictions- l’Avert nous promet encore plus de malwares « ne parlant plus anglais ». Qu’il s’agisse de spam, de phishing, voir de programmes frauduleux genre scarewares, les cybertruands tentent de « localiser » leurs productions afin de gagner en efficacité. Elles deviennent lettres mortes, les lamentables tentatives de phishing prétendument émises par le Crédit Lyonnais ou la Banque de France, rédigées dans une langue qui n’a de Shakespeare qu’une lointaine apparence. Désormais, les outils d’attaque s’expriment « dans la langue du pays » (notons au passage que cela confirme l’analyse de Dancho Danchev sur la spécialisation des « places de marché » du cybercrime, dont les ventes sont de plus en plus découpées en fonction des pays visés, du niveau social des victimes, de leurs centres d’intérêt).
Plus d’ingénierie sociale aussi. Avec l’apparition brutale, courant 2008, d’attaques basées sur des événements d’actualité. Hier, on recevait un courriel intitulé « I love You », aujourd’hui, on apprend que Barack Obama se désiste et refuse de prendre la Présidence des Etats Unis… le piège social repose sur des ressorts légèrement différents, dont l’immédiateté événementielle offre une certaine crédibilité.