Prospective sur l'évolution de la cybercriminalité de 2011 à 2020 (extraits)

PREFACE

Qui tente de prévoir l'avenir, prend le risque de se tromper. Mais celui qui néglige l'analyse prospective adopte une attitude passive qui le place en situation de faiblesse face à la dictature des événements. Anticiper les évolutions de la société c'est afficher la volonté de ne pas subir.

Les pionniers d'Internet, parmi lesquels Paul Baran, récemment décédé, n'imaginaient pas sans doute que le réseau internet relierait un demi-siècle plus tard plus de deux milliards d'abonnés.

Qui l'aurait prédit ? L'essor des technologies numériques modifie fondamentalement notre société. Qui aurait imaginé leur impact sur les modes de télécommunication, les relations sociales, l'économie, les processus industriels, la domotique, la vie politique, etc. ? Certains assimilent la révolution numérique à l'invention de l'imprimerie par Gutenberg. La rupture est sans doute d'une plus grande ampleur, car elle concerne l'ensemble des activités humaines. Chaque jour nous sommes les témoins d'une véritable reconfiguration touchant les individus, les entreprises, les institutions.
Le cyberespace est un espace de liberté, de créativité, de croissance qui offre des perspectives "exponentielles". C'est une chance pour l'humanité. Mais tout progrès a son revers. Les effets pervers se manifestent aussi car les prédateurs en exploitent immédiatement les failles, pour tirer des profits, détruire ou neutraliser tout ce qui gène le développement de leur entreprise criminelle.

Le cyberespace offre aujourd'hui des opportunités mais il est aussi un espace de puissance, de conflits. La guerre y est déclarée. L'avenir peut être imaginé sur la base de certitudes. Le cyberespace va mettre en relation de plus en plus d'êtres humains, dans les pays développés mais surtout dans les pays émergents ; la Chine plus particulièrement. Cette expansion s'observe aussi dans les pays du tiers monde, qui peuvent désormais accéder aux nouvelles technologies en faisant un saut qualitatif qui gomme des écarts encore cuisants.
Les nouvelles technologies vont aussi irriguer la vie quotidienne jusque dans les moindres détails, c'est une autre certitude. La notion de puissance devra être examinée sous un nouveau jour, l'expression de la démocratie s'affranchira du calendrier des consultations électorales. Les institutions publiques ou privées devront s'adapter à ce nouveau comportement des citoyens, des consommateurs. Les modes d'organisation glisseront vers un système matriciel plus complexe.

Il appartient aux responsables d'identifier les continuités mais aussi de déceler les ruptures potentielles liées à une évolution des technologies. D'où l'importance de la veille scientifique.

L'avenir repose aussi sur des incertitudes. L'Etat, dont la légitimité repose d'abord sur la défense et la sécurité, pourra t-il conserver ce monopole face à des menaces ou à des attaques multiples et diffuses, non signées, quotidiennes ? La coopération internationale sera-t-elle en mesure de maîtriser la contradiction entre une mondialisation inhérente à la constitution des réseaux et le maintien de frontières politiques, juridiques et militaires ?
La crise économique durable autorisera-t-elle le financement des indispensables mesures de défense et de sécurité qui ne se substituent pas mais s'ajoutent à celles encore nécessaires pour garantir la paix dans les espaces terrestres aériens et maritimes ? Les états "noirs", les mafias, les organisations criminelles, les mouvements terroristes ne vont-ils pas bénéficier d'une liberté d'action et de moyens qui feront défaut à ceux qui veulent contrer le développement de leur empire?
Pour éviter le chaos, une prise de conscience est nécessaire. Les pouvoirs publics s'engagent aujourd'hui avec résolution. La création récente de l'agence nationale de la sécurité des systèmes d'information (ANSSI) est la partie visible et hautement symbolique d'une politique volontariste qui ne peut, discrétion oblige, afficher toutes ses composantes.

Les entreprises aussi se mobilisent progressivement, car elles savent que leur potentiel humain, matériel et immatériel peut être affecté ou anéanti faute de vigilance. Mais la prise de conscience doit être aussi partagée par l'ensemble des citoyens. D'où la nécessité d'une formation à l'école ou à l'université qui soit au plus vite intégrée dans les programmes, car il faut semer aujourd'hui pour récolter demain.

Au delà, la question essentielle qui se pose au prévisionniste est celle de la place de l'homme dans le cyberespace. Ce qui est en jeu, c'est pour chacun la préservation de son identité, de son droit à l'image, de sa sphère d'intimité, de sa liberté d'opinion, de son accès à une information objective. L'homme doit rester maître du cyberespace et ne pas en devenir l'esclave, notamment par le caractère intrusif et la traçabilité des technologies numériques.
L'analyse prospective sur l'évolution de la cybercriminalité que nous livrent vingt-deux experts est le fruit de la convergence d'expériences différentes.
Elle a le grand mérite de mettre en évidence la dimension humaine des enjeux de la "criminalité du XXIème siècle".
Ce travail fondateur apporte des réponses concrètes aux interrogations d'aujourd'hui sans lesquelles demain pourrait ne pas avoir d'avenir.
Général d'armée Marc WATIN-AUGOUARD Inspecteur général des armées - Gendarmerie

(...)

Pour l'essentiel :
Les menaces émergeantes portent sur les données, les transactions, les systèmes, les infrastructures et les services stratégiques, alors que les innovations sont sujettes à des vulnérabilités et à des détournements de finalité. Elles relèvent de divers facteurs, dont certains sont récurrents et d'autres concernent les crises, le durcissement de la concurrence, et les nouveaux usages, qui exposent à de nouveaux risques. Les menaces envers les organismes, et de façon commune aux entreprises, aux collectivités et aux administrations, seront l'indisponibilité, l'atteinte aux données et à l'image. L'évolution des réseaux sociaux, confortée par le goût croissant des utilisateurs, ne manquera pas de générer des menaces à l'encontre des personnes, mais aussi des entreprises, des organisations publiques et des États. Il est souligné les difficultés de gestion des crises et la possibilité d'une paralysie. Les menaces envers les personnes seront les escroqueries et les détournements, les vols, l'usurpation d'identité, les intrusions et l'utilisation frauduleuse des données personnelles.

Les atteintes concernent le vol et l’usurpation d’identité, notamment du fait de l'ingénierie sociale, avec des outils et des procédés performants, tels que les "botnets", associés aux phénomènes de "phishing" et de "spamming", aux fins de commettre d'autres délits. La pédopornographie devrait évoluer dans la manière dont les échanges d'images et de vidéos s’effectueront, avec plus de disponibilité et des flux plus discrets. Les infrastructures critiques seront les cibles au vu de motivations variées. Dans ce cas, des attaques pourraient alors causer des crises sans précédent, à divers niveaux. L’atteinte à la réputation devrait être croissante et le vol de propriété intellectuelle et les différentes formes de contrefaçon prendront une dimension fondamentale, sans que la propriété intellectuelle ne puisse être totalement respectée. Des facteurs aggravants ont été énumérés au regard de différents buts, essentiellement liés à la recherche de profits et de pouvoir. Il existe également une possibilité de compromission d'États fragiles, avec des tentations, pour d'autres, d'être les initiateurs d'attaques dont les conséquences pourraient être catastrophiques pour les premiers.

Les auteurs seront internes et externes de façon variable. La majorité des experts conclut à une tendance lourde liée à l'organisation industrielle des activités cybercriminelles, fondée sur des éléments empruntés au monde marchand, avec des réseaux de compétences qui se vendront au plus offrant. Il faudra aussi compter avec une criminalité profitant d'opportunités de masse pour des escroqueries, et sur le développement des réseaux sociaux comme nouveaux vecteurs d'influence. Les groupes de "hackers" et d’activistes représenteront aussi des menaces croissantes, recherchant souvent l’effet médiatique de leurs actions via l'Internet, notamment pour disposer de soutiensà leurs actions. L'évolution des niveaux de compétences devrait distinguer des groupes criminels spécialisés dans la revente de services, et d'autres, plus diversifiés, utilisateurs de ces services ou travaillant au profit de plus importants qu'eux. Des compétences juridiques et financières avancées seront aussi recherchées pour la mise en œuvre d'actions de blanchiment et de protection des auteurs. En dépit de son poids, l'activité du crime organisé devra rester aussi discrète que possible pour perdurer.
Les victimes seront issues de tous les secteurs où des informations stratégiques et des enjeux financiers existent. Le secteur de l'informatique et des télécommunications apparaît comme une cible privilégiée, avec son potentiel de déstabilisation dans une société toujours plus dépendante à ces technologies, mais aussi en qualité de vecteur. Les secteurs sont déjà ciblés dès lors qu'ils présentent un potentiel financier ou de désorganisation. Une distinction est à faire en fonction du but des attaques, qu'il s’agisse de piller des entreprises en pointe ou celles de la finance sinon des transactions en ligne qui seront régulièrement et massivement attaquées, ou encore, de détruire ou de créer autant de désordre que possible pour s'assurer du meilleur impact médiatique. Concernant les tranches d'âge des personnes physiques, les plus vulnérables se situent aux deux extrémités du fait d'une maturité restant à parfaire dans l'usage des technologiques numériques. C'est essentiellement la situation de faiblesse physique, psychologique et intellectuelle, qui désigne les cibles privilégiées. Aux plus jeunes et aux aînés viennent ainsi s'ajouter les personnes désocialisées ou isolées, les populations les plus défavorisées, handicapées et les moins réceptives.

Les mesures concernent l'encadrement juridique des activités les plus sensibles et les exigences de sécurité, par diverses sources de pressions, y compris les assurances. Ceci favoriserait la mise en œuvre de mesures de sécurité cohérentes, fondées sur l'application des politiques et des normes de sécurité, et sur la certification, sous condition de garantie de suivi et de contrôle interne dans la durée. L'unanimité se fait sur le développement primordial des formations et des sensibilisations, avec un consensus sur les insuffisances, et sur la nécessité d'intégration dans les cursus éducatifs. Les formations de haut niveau devraient se généraliser dans la prochaine décennie en s'appuyant sur des projets pilotes, et sur le livre blanc sur la sécurité et la défense nationale pour protéger les infrastructures vitales. Au-delà de la posture défensive il est souhaité une réflexion sur la dissuasion et le développement de la lutte offensive. Les mesures organisationnelles sont mises en avant au niveau étatique, tandis que les mesures législatives et techniques font plus débat. Le partenariat public -privé semble prometteur, tout comme l'existence de centres d'expertise et de réponse aux incidents, sans oublier la faveur d'une réponse citoyenne avec un rôle actif dans le dispositif de vigilance. Les grandes entreprises et les secteurs les plus sensibles devraient être à l'avant-garde, suivis par les PME/PMI, plus hésitantes à mettre en place une stratégie adéquate. Enfin, l'établissement d'un cadre juridique universel reste un élément clé, avec l'harmonisation des dispositifs et des coopérations, au x niveaux international et public-privé.
(...)
Experts ayant participé à l'étude :

• M Laurent BOUNAMEAU , Federal Computer Crime Unit, Police fédérale belge.
• Mme Sylvia BREGER,criminologue,directricedeCRIMINONET.
• M Alain CORPEL, enseignant-chercheur SSI à l'Université technologique deTroyes (UTT).
• Mme Chantal CUTAJAR, professeur affilié à l'Ecole de management de l'Université de Strasbourg, directrice du GRASCO et du Master
• Lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité, Service technique de recherches judiciaires et de documentation, Pôle judiciaire de la Gendarmerie nationale
• M Gérard GAUDIN, ingénieur Supélec, fondateur de l'association R2GS, consultant en gestion de la sécurité.
• Daniel GUINIER, docteur ès sciences, CISSP, ISSAP, ISSMP, MBCI, expert près la Cour Pénale Internationale de La Haye, lieutenant-colonel (RC) de la gendarmerie nationale.
• M Joseph ILLAND, ingénieur général de l'armement, fonctionnaire de sécurité de défense du CNRS.
  Adjudant-chef Thierry JACQUOT, enquêteur NTECH, BDRIJ de Strasbourg.
• M Philippe JOLIOT, ingénieur, expert judiciaire près la Cour d'appel de Nancy,
  TRACIP, président de l'AFSIN.
• M Denis LANGLOIS, ingénieur, cryptologue, consultant en sécurité et sûreté
  des patrimoines matériel et informationnel.
• M BertrandLATHOUD,InformationRiskManagerPayPal.  Capitaine Olivier NAEL,chef de la section technique,OCLCTIC.
• M Jean-François PACAULT, ingénieur général de l'Armement, chef du service
  de la sécurité des technologies de l'information et de la communication chez le Haut fonctionnaire de défense et de sécurité des ministères de l'Economie et du Budget.
• M François PAGET, secrétaire général du CLUSIF, chercheur en cybercriminalité, membre fondateur de McAfee Labs.
• Lieutenant-colonel Alain PERMINGEAT, chef de la division de lutte contre la cybercriminalité du service technique de recherches judiciaires et de documentation.
• M Jean -Paul PINTE, docteur en information scientifique et technique, maître de conférences, expert en veille et intelligence compétitive à l'Université catholique de Lille, lieutenant-colonel (RC) de la gendarmerie nationale.
• Me Blandine POIDEVIN, avocate au barreau de Lille.
• Mme Myriam QUEMENER, magistrate au parquet général de la Cour d'appel
  de Versailles.
• M Philippe ROSE, docteur ès sciences économiques, journaliste et écrivain, rédacteur en chef de la revue Best Practices Systèmes d'Information.
• Mme Isabelle TISSERAND, docteur de l'EHESS, coordinatrice du Cercle européen de la sécurité des systèmes d'information.
• Adjudant-chef Franck VAN DE VELDE, enquêteur NTECH, BDRIJ de Villeneuve d'Ascq.

Pour recevoir cette étude, veuillez adresser un email à isabelletisserand@yahoo.fr