Disons-le en préambule comme ça ce sera fait : je n’ai jamais été très fan des antivirus et autres logiciels de sécurité informatique et anti-malwares, et encore moins des produits de Symantec, connus notamment avec le célèbre Norton, incrusté d’origine dans la plupart des PC du commerce.

symantec intro Symantec, les éditeurs dantivirus et lévolution de la cybercriminalité

Je m’en suis d’ailleurs ouvert auprès de nos interlocuteurs chez Symantec : généralement, la première action que j’entreprends au démarrage d’un nouvel ordinateur consiste à désactiver puis supprimer Norton (ou autre anti-malware installé par défaut) et nettoyer la base de registre pour tenter d’en effacer toutes les traces. Pourquoi ? Parce-que j’ai toujours trouvé que ce logiciel – mais c’est vrai pour la plupart des anti-malware – apportait plus d’inconvénients que d’avantages (lenteurs, relative inefficacité…) – et que je souhaitais choisir moi-même la façon dont je protège mon ordinateur : avec d’autres solutions, ou en jouant à L’anti-virus humain (ce billet date de 4 ans mais il est encore à peu près d’actualité).

C’est donc peu dire que je me suis rendu à la journée de présentation au siège de Symantec avec une certaine curiosité mêlée de circonspection, avec cette sensation étrange d’être invité à visiter un temple du bigbrotherisme comme le FBI ou la CTU de 24, version web.

Mais le pitch de Symantec était clair : la journée était principalement consacrée à la présentation d’un état des lieux du cybercrime en 2009, à son évolution au fil des années, et aux moyens mis en place non seulement par les éditeurs de logiciels de protection mais également par les autorités et la coopération entre gouvernements. Pas de propagande ni de promotion à outrance de leurs solutions en vue, donc, et c’est tant mieux.

Une journée assez informelle au final, sans cravate et en petit comité (nous étions 8 invités dont 6 journalistes internationaux et 2 modestes blogueurs, Korben et votre serviteur), découpée en deux ateliers : le matin, présentation du Black Market, et l’après-midi, discussion ouverte sur la cybercriminalité, avec présentation de cas concrets, et les moyens de la prévenir.

Le Black Market, la petite boutique des horreurs

Selon Dave Cole, Directeur des Produits Grand Public de Symantec, « Un crime est commis toutes les trois minutes et demi dans les rues de New York, un crime est commis toutes les deux minutes et demi dans les rues de Tokyo. Mais toutes les trois secondes, une identité est volée en ligne, soit près de 10 512 000 d’identités chaque année. La cybercriminalité est devenue un crime à part entière, bien plus rentable, avec un meilleur anonymat, et peut s’avérer beaucoup plus difficile à poursuivre que les crimes réels. »

blackmarket01 Symantec, les éditeurs dantivirus et lévolution de la cybercriminalité

Afin de bien faire comprendre les enjeux du cybercrime, et les différents moyens utilisés par les brigands du net, Symantec a imaginé et créé une sorte de boutique en dur dans un local itinérant d’une centaine de mètres carrés, installé actuellement au siège de la société, qui présente sous forme d’étals comme dans un vrai magasin toutes les facettes de la criminalité sur internet. Ainsi, chaque forme de délit est transposé au monde réel par une mise en scène sur un rayon correspondant, du vol d’identité (l’activité qui a le vent en poupe actuellement) à la falsification de carte de crédit, en passant par les outils du parfait petit hacker sans oublier les faux logiciels… anti-malware.

Dave Cole précisait à l’occasion que la délinquance sur internet avait considérablement évolué au cours des dernières années, passant d’un hobby pour hacker en mal de reconnaissance à un véritable business générant plusieurs milliards de dollars chaque année. Devenir un cybercriminel n’est plus un passe-temps ni une prouesse technique mais un véritable choix économique. A ce titre, le profil du délinquant sur internet est maintenant davantage un profil de délinquant de droit commun, avec toute la panoplie qui va avec, à savoir les grosses bagnoles, la dope et même les armes, comme l’arsenal retrouvé au domicile de Floride de l’un des plus gros revendeurs d’identités en août 2009.

Bref, du lourd, voyez-vous.

blackmarket02 Symantec, les éditeurs dantivirus et lévolution de la cybercriminalité

blackmarket03 Symantec, les éditeurs dantivirus et lévolution de la cybercriminalité

Le cas Albert Gonzalez, où les différentes facettes de la criminalité en ligne

Le cybercrime paie. Il paie tellement qu’il a pris des formes variées dont la lutte contre les virus, spécialité originelle de Symantec n’est plus qu’une petite partie du travail accompli par les éditeurs de logiciels anti-malware. D’ailleurs, il devient de plus en plus difficile de faire la différence entre la criminalité de la « vraie vie » et celle qui relève purement du web tant les deux mondes s’entremêlent. Symantec cite entre autres l’exemple d’Albert Gonzalez, pirate qui, entre autres méthodes, se servait des réseaux WiFi implantations physiques de différentes entreprises du Fortune 500 pour pénétrer leur système d’information : il se baladait d’agence en agence et entrait par les ports non sécurisés pour accéder aux systèmes de paiement et également aspirer les bases de données clients afin de les revendre sur le web. Connu sous le charmant pseudo de Soupnazi, il aurait ainsi subtilisé et revendu pas moins de 130 millions de données bancaires, ce qui constitue la plus importante fraude jamais commise aux USA. Notez au passage que ce cher Albert avait travaillé pour le gouvernement américain et ses services secrets contre… les hackers quelques années auparavant.

blackmarket04 Symantec, les éditeurs dantivirus et lévolution de la cybercriminalité
Le parfait kit du petit contrefacteur de cartes de crédit

Un cas à part assurément, mais illustrant l’ampleur du phénomène, qui s’étend donc à plusieurs activités, parmi lesquelles les plus courantes comme l’achat et la vente des identités, les enregistreurs de frappe (keyloggers) ou encore les attaques par phishing.

Étonnante aussi cette démo de faux sites émulant à la perfection des sites d’éditeurs anti-malware, qui vont jusqu’à singer les conditions générales d’utilisation et vous incitent à vous… protéger des contrefaçons. De l’arnaque plus vraie que nature, avec laquelle même les plus aguerris des internautes – ou ceux qui s’imaginent comme tels – pourront se faire facilement piéger.

De l’édition de logiciels à l’éducation : le nouveau défi des éditeurs d’anti-malware

Les entreprises d’édition d’anti-malware doivent se remettre en question pour plusieurs raisons : d’abord, comme vu précédemment, elles n’ont pas forcément très bonne réputation, puisqu’on leur reproche souvent l’incrustation profonde de leurs solutions dans nos PC, logiciels qu’il est parfois très difficile, voire impossible de désinstaller complètement. Les ralentissements générés par les anti-malware sont également très mal vus des utilisateurs, sans compter les problèmes que ceux-ci posent parfois en termes de compatibilité avec d’autres logiciels. Enfin les prix pratiqués, surtout à l’abonnement, peuvent être dissuasifs.

Ensuite, la lutte classique avec la méthode du pot de miel et de la signature contre les virus telle qu’elle a été menée depuis maintenant une vingtaine d’années a maintenant vécu, tant le nombre de malwares s’est multiplié au cours de la décennie écoulée. Symantec expérimente depuis quelques mois une nouvelle méthode à l’aide d’un algorithme fondé sur la réputation, qui fera appel à la collaboration de sa base de clients qui compte environ 40 millions d’utilisateurs dans le monde.

Ainsi l’éditeur californien explique que son activité évolue fortement, passant du stade de  développeur de solutions de sécurité informatique à celui de conseiller en prévention et éducation contre le cybercrime, et se penche déjà avec beaucoup d’attention sur le marché qui attirera probablement les hackers dans les mois et années à venir : le mobile. Selon Dave Cole, le mobile sera la prochaine cible à grande échelle, et les attaques passeront par le dénominateur commun, à savoir le navigateur web, qui équipe de plus en plus de smartphones. La plate-forme Android est certainement celle qui sera le plus massivement visée, du fait de son ouverture et de la possibilité pour n’importe-quel développeur de publier des applications malveillantes dans contrôle préalable sur l’Android Market. Ce à quoi l’on pourrait répondre que Windows est un système fermé et qu’il est pourtant le plus attaqué, notamment – même si c’est moins le cas depuis les dernières versions – via son navigateur Internet Explorer. On pourrait également noter que les communautés open source sont aussi celles qui sont les plus réactives pour apporter patches et correctifs aux failles de leurs systèmes.

Un code entièrement réécrit pour un nouveau credo : un anti-malware ne doit plus ralentir un PC !

Même si ce n’était pas l’objet de cette journée sur les risques informatiques (en tout cas avoué ni officiel, même si vous vous doutez bien que Symantec n’avait pas mis les petits plats dans les grands juste pour le plaisir de nous conter fleurette), Symantec a conclu en présentant ses nouvelles gammes et suites de logiciels de sécurité, que je n’ai pas pu encore tester car je ne les ai pas reçus pour de simples raisons logistiques. On peut cependant noter que, comme l’indiquait Korben dans un billet récemment, les progrès accomplis sont considérables puisque sur de nombreux tests menés récemment les solutions Symantec arrivent en tête notamment en matière de performance : Dave Cole indiquait non sans une certaine malice que à défaut de rendre un PC plus rapide après l’installation d’un anti-malware Symantec, la performance de l’ordinateur ne subissait cependant aucune modification.

Vous préférez vous faire voler votre MacBook ou votre identité ?

Éducation, prévention… Comme dans la vraie vie, la lutte contre la cybercriminalité passe d’abord par la prise de conscience du grand public et sa sensibilisation. On parle ici de vraie délinquance, celle dont nous avons l’habitude de nous prémunir quand il s’agit de nos biens matériels et qu’il peut nous arriver de négliger quand nous utilisons internet ou notre PC. Le vol d’identité ou la perte de données peut par exemple avoir des conséquences bien plus dramatiques que le vol de son PC portable ou même de sa voiture.

Il reste cependant un domaine où la sécurité informatique a encore des progrès à accomplir, c’est celui précisément des éditeurs de sites web, ou de solutions de CMS (Systèmes de Gestion de Contenu), chez qui des failles sont régulièrement découvertes, pouvant mettre en péril de façon involontaire les données de milliers de clients, comme l’ont démontré récemment plusieurs affaires, dont l’une concernant un site d’annonces immobilières très connu du grand public. J’ai évoqué cette question lors de la table ronde Symantec : même si l’éditeur est spécialisé dans les solutions destinées au grand public, il a mis aussi en place une cellule de veille qui agit sur ce type de problématique en travaillant sur l’identification des fuites, failles et autres ponts de données (databridge) pouvant mettre en danger les données contenues sur des sites web.

Car après tout c’est aussi de cette façon qu’Albert Gonzalez a pu réaliser son immense fraude.

Quelques liens pour aller plus loin :

5 articles au hasard :