Piratage et logiciels malveillants : une mine d’or malgré une sensibilisation régulière

mercredi 09 Juin 2021

Par Renaud Zbinden, assistant HES à l’ILCE et étudiant MAS LCE

Sauvegarder, utiliser, protéger, équiper, réduire… S-U-P-E-R[1]. Il s’agit de la nouvelle sensibilisation consacrée à la cybersécurité mise en place par la Prévention Suisse de la Criminalité[2] en mai 2021. Cette sensibilisation, axée principalement sur les réseaux sociaux, démontre l’importance des enjeux des cybermenaces, mais surtout les risques constants de ce fléau. Pour mieux se rendre compte de l’importance du phénomène, il existe une carte interactive des cybermenaces en temps réel[3] développée par Kaspersky, société spécialisée dans la sécurité des systèmes d’information.

L’arrivée de la pandémie mondiale et toutes les conséquences pour les entreprises privées et publiques ont perturbé l’environnement de travail des employés. Les entreprises et les Etats ont-ils su s’adapter afin de maintenir un niveau de sécurité informatique adéquat ?

Ce présent article développe l’impact de la pandémie sur les cybermenaces, s’intéresse à l’efficacité de la prévention actuelle et ouvre la réflexion sur une opportunité de prévention dans le domaine après l’analyse d’une actualité récente.

Hacking et malware

Cette contribution présente deux volets de dangers liés à Internet et à l’informatique. Tout d’abord, le piratage informatique (hacking) qui consiste pour un pirate à accéder à un système informatique à l’insu de l’utilisateur afin d’avoir les pleins pouvoirs sur les données et l’infrastructure. Les cibles prioritaires des pirates pour le hacking sont les sites web et les adresses de messagerie afin d’obtenir des données commerciales ou des données bancaires. Non seulement d’énormes pertes financières peuvent avoir lieu, mais la notoriété de la victime (gouvernement, entreprise ou particulier) peut être entachée[4].

La deuxième cybermenace abordée concerne les logiciels malveillants (malware) qui exécutent de multiples opérations nuisibles sur une machine informatique ou un réseau[5]. Téléchargés et installés par l’utilisateur, ils peuvent prendre différentes formes et ne sont évidemment pas visibles. Les plus connues médiatiquement sont les chevaux de Troie (trojan horse), les rançongiciels (ransomware), les vers (worm) ou encore les logiciels espions (spyware)[6].

« Chaque mois, en Suisse, se produisent en moyenne 25 000 attaques de logiciels malveillants. »[7].

Cadre juridique suisse

Le Code pénal suisse[8] prévoit plusieurs dispositions luttant contre les cybermenaces. Un acte de piratage informatique ou la diffusion d’un logiciel malveillant est considéré, en droit suisse, comme une atteinte au patrimoine. De ce fait, dans chaque cas, au moins une des infractions suivantes est remplie :

  • Soustraction de données (art. 143 CP) ;
  • Accès indu à un système informatique (art. 143bis CP) ;
  • Détérioration de données (art. 144bis CP)[9].

Souvent, les pirates ne se contentant pas d’avoir accès aux données et/ou à la machine, d’autres infractions sont commises concomitamment, par exemple l’escroquerie (art. 146 CP), l’extorsion et chantage (art. 156 CP) ou encore le blanchiment d’argent (art. 305bis CP).

Influence de la Covid-19

Le Centre national pour la cybersécurité (National Cyber Security Centre – NCSC) est le centre de compétence de la Confédération en matière de cybersécurité[10]. Ce dernier est responsable de la mise en œuvre de la stratégie nationale de protection contre les cyberrisques. Le NCSC permet à la population et aux milieux économiques de communiquer les cyberincidents afin d’obtenir des recommandations, de sensibiliser les autres acteurs et d’améliorer la lutte.

La pandémie de la Covid-19 a malheureusement augmenté considérablement les cyberincidents depuis 2020. En effet, les cybercriminels ont su s’adapter très rapidement à la situation afin de profiter de toutes les vulnérabilités. Par exemple, l’obligation du télétravail a fragilisé la sécurité informatique des entreprises.

Statistique du nombre d’annonces de cyberincidents par semaine de mi-avril 2020 à mi-avril 2021[11]

Le rapport semestriel du NCSC du 10 mai 2021[12] traite des principaux cyberincidents du deuxième semestre 2020 en Suisse et sur le plan international. Il fait de la santé numérique le thème principal, car elle génère de nombreux défis en raison des cybermenaces actuelles. En particulier, de nombreux hôpitaux ont été victimes de ransomware depuis le début de la crise de la Covid-19, par exemple la clinique universitaire de Düsseldorf, l’hôpital de Wetzikon (Oberland zurichois) ou encore le groupe Hirslanden qui possède 17 cliniques en Suisse[13]. Cette menace est existante dans les autres secteurs, mais les conséquences dans le domaine de la santé sont bien plus importantes : une perte de données sensibles et/ou une panne informatique peuvent mettre en péril la santé, voire la vie des patients. Le contexte imposé par la pandémie, c’est-à-dire l’engorgement du système sanitaire et l’urgence de la situation, a malheureusement augmenté la motivation des pirates.

Tillie Kottmann, un cas d’école ?

Ce jeune lucernois de 21 ans a défié la chronique en mars dernier dans le cadre de l’affaire Verkada. Tillie Kottmann a profité d’une faille de sécurité de l’entreprise Verkada Inc. pour consulter en direct les flux de plus de 150’000 caméras connectées à Internet. Ces caméras filmaient diverses installations, notamment des prisons, des hôpitaux, des entrepôts et des usines de grandes entreprises, comme Tesla. Le 9 mars 2021, Tillie Kottmann publie sur le réseau social Twitter des photos de ses trouvailles accompagnées par des messages alarmants[14].

Image piratée d’une prison américaine publiée sur Twitter[15]

Le 18 mars 2021, le Ministère public de l’Etat de Washington l’a inculpé pour « complot, fraude électronique et vol d’identité aggravé », ainsi il risque 20 ans de prison aux Etats-Unis en cas d’extradition. En Suisse, Tillie Kottmann risque entre trois et cinq ans de prison[16]. Pourtant, selon ses dires, son groupe de pirates et lui auraient trouvé des identifiants administrateurs de l’entreprise publiquement exposés sur Internet, ce qui leur a permis d’accéder aux données. Ainsi, de par son esprit hacktiviste[17] et aucunement par un désir financier, il a publié les données confidentielles afin d’exposer les problèmes de sécurités des entreprises avant que d’autres personnes malintentionnées ne causent de plus grands dommages[18].

Dans cet exemple, d’un côté, les autorités américaines mettent tout en œuvre pour obtenir justice et envoient indirectement un message aux pirates informatiques concernant les conséquences de leurs actes. De l’autre côté, à l’image des White Hat[19], Tillie Kottmann démontre les problèmes de sécurité existants et le manque de prise en considération par certaines entreprises.

Conclusion

Les cybermenaces seront toujours un risque conséquent pour les entreprises privées et publiques. Dans la plupart des situations, l’ingénierie sociale, c’est-à-dire la manipulation psychologique, est la pratique la plus utilisée par les pirates informatiques pour arriver à leurs fins. Ainsi, comme l’humain est la vulnérabilité principale de ces cybermenaces et ayant connaissance de l’importance des dangers que cela représente, n’est-il pas important que chaque entreprise améliore sa propre sécurité ? De ce fait, il serait également intéressant de s’intéresser aux moyens mis en œuvre dans les entreprises pour la sécurité informatique.

Etant donné que les pirates informatiques n’ont pas de frontière dans leurs agissements, de nombreuses cybermenaces proviennent de pays étranger auxquelles les autorités suisses ne peuvent efficacement lutter. Malgré de grands moyens développés dans la sensibilisation et la lutte, la Confédération ne devrait-elle pas proposer une approche encore plus proactive pour réduire les dommages ?

A l’instar des sociétés d’audit[20] qui développent des conseils et outils pour améliorer la cybersécurité, il serait probablement efficace de mettre en place une entreprise étatique qui teste par mandat la sécurité informatique des acteurs économiques. Ainsi, cette idée, fortement inspirée par les White Hat, consiste à tenter par plusieurs procédés de pirater ou d’insérer un logiciel malveillant chez l’acteur ayant demandé le service. Les simulations et les exercices préventifs, effectués avec succès ou non, mettront en évidence les faiblesses spécifiques des acteurs économiques. Car au final, n’y a-t-il pas meilleur moyen pour être préparé à une situation que celle de l’avoir vécue auparavant ?


[1] Prévention Suisse de la Criminalité. (2021). SUPER – Sauvegarder Utiliser Protéger Equiper Reduire. https://www.s-u-p-e-r.ch/fr/ (consulté le 16.05.2021)

[2] Prévention Suisse de la Criminalité. (s. d.). Prévention Suisse de la Criminalité. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/ (consulté le 16.05.2021)

[3] Kaperski. (s. d.). CARTE | Carte des cybermenaces en temps réel. CARTE | Carte des cybermenaces en temps réel. Consulté 1 juin 2021, à l’adresse https://cybermap.kaspersky.com/fr (consulté le 16.05.2021)

[4]Prévention Suisse de la Criminalité. (s. d.). Piratage + logiciels malveillants. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/sujets/internet/piratage-logicielsmalveillants/ (consulté le 16.05.2021)

[5] Red Hat, Inc. (2021). Un logiciel malveillant, qu’est-ce que c’est ? https://www.redhat.com/fr/topics/security/what-is-malware (consulté le 16.05.2021)

[6] Kapersky Lab. (2021). How to get rid of malware? Www.Kaspersky.Com. https://www.kaspersky.com/resource-center/threats/malware-protection (consulté le 16.05.2021)

[7] Prévention Suisse de la Criminalité. (2021). SUPER – Sauvegarder Utiliser Protéger Equiper Reduire. https://www.s-u-p-e-r.ch/fr/ (consulté le 16.05.2021)

[8] Code pénal suisse du 21 déembre 1937 (RS 311.0)

[9] Prévention Suisse de la Criminalité. (s. d.). Piratage + logiciels malveillants. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/sujets/internet/piratage-logicielsmalveillants/ (consulté le 16.05.2021)

[10] Département fédéral des finances, D. (2021). Page d’accueil NCSC. Consulté 1 juin 2021, à l’adresse https://www.ncsc.admin.ch/ncsc/fr/home.html (consulté le 16.05.2021)

[11] Département fédéral des finances. (2021). Chiffres actuels. https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html (consulté le 16.05.2021)

[12] Centre national pour la cybersécurité. (2021). Sécurité de l’information—Situation en Suisse et sur le plan international.

[13] Jaun, R. (2020). Cyberattaque contre les cliniques privées Hirslanden. ICTjournal. https://www.ictjournal.ch/news/2020-11-25/cyberattaque-contre-les-cliniques-privees-hirslanden (consulté le 16.05.2021)

[14] Vincent, J. (2021, mars 19). ‘Anti-capitalist’ Verkada hacker charged by US government with attacks on dozens of companies. The Verge. https://www.theverge.com/2021/3/19/22339625/tillie-kottmann-swiss-hacker-verkada-charged-us-government-verkada (Consulté le 19.05.2021)

[15] Seydtaghia, A. (2021, mars 16). Comment un Suisse a piraté Tesla et des prisons américaines. Le Temps. https://www.letemps.ch/economie/un-suisse-pirate-tesla-prisons-americaines (consulté le 16.05.2021)

[16] Atmani, M. (2021). Le hackeur suisse qui fait trembler les Etats-Unis | Illustré. L’Illustré. https://www.illustre.ch/magazine/le-hackeur-suisse-qui-fait-trembler-les-etats-unis (consulté le 16.05.2021)

[17] Contraction de hackeur et d’activiste

[18] Vincent, J. (2021, mars 19). ‘Anti-capitalist’ Verkada hacker charged by US government with attacks on dozens of companies. The Verge. https://www.theverge.com/2021/3/19/22339625/tillie-kottmann-swiss-hacker-verkada-charged-us-government-verkada (consulté le 16.05.2021)

[19] Hacker éthique ou expert en sécurité informatique qui teste les mesures de sécurité des entreprises.

[20] PricewaterhouseCoopers. (s. d.). Cybersecurity and Privacy. PwC. Consulté 1 juin 2021, à l’adresse https://www.pwc.ch/en/services/digital/cybersecurity.html (consulté le 16.05.2021)

Cyber-Scammers, cryptommonaies et trading

lundi 31 Mai 2021

Par Stéphane Marcelli

1.    Introduction

La crise sanitaire due au coronavirus a mené à une démocratisation générale du trading en ligne. En effet, la grande volatilité des marchés financiers et le temps à disposition de la population, la faute aux confinements répétitifs, ont largement profité au développement de nouvelles connaissances et à l’apprentissage du trading en ligne. L’utilisation des diverses plateformes disponibles sur le marché a explosé sur l’année 2020[1]. Entre fin 2019 et avril 2020, certains brokers en ligne ont vu leur taux d’utilisation augmenter de 55% et le nombre d’utilisateurs à quant à lui triplé pour certaines plateformes entre mars 2019 et mars 2020[2].

Nous nous concentrerons dans cet article sur le chapitre de la cryptomonnaie et sur les escroqueries qui sont apparues sur ce marché en pleine expansion. En effet, les rendements générés par ce buisness ont attiré des investisseurs de tous genres et de toutes tailles, allant de particuliers non qualifiés à de gros investisseurs institutionnels. Malheureusement, ce genre de technologies émergentes attire également des personnes mal intentionnées, mais généralement technologiquement au point et qui tentent par de nombreux subterfuges de s’emparer de l’argent d’investisseurs. Quelles sont les escroqueries existantes ? Quelles sont les mesures prises par les gouvernements pour informer et lutter contre ce phénomène ? Voici quelques lignes sur la situation actuelle.

2.    It’s a scam !

$16,149,661,014…c’est le montant des capitaux détournés auprès d’investisseurs dans les cryptomonnaies depuis 2012. Ces chiffres, publiés en janvier 2021 par Xangle, dans le rapport « Crypto Investor Scam report », sont estimés en tenant compte des plus grosses escroqueries ressorties depuis 2012[3].

Lesdites escroqueries sont regroupées dans 71 dossiers majeurs qui ont amené à 527 arrestations. L’escroquerie ayant impliqué le plus d’arrestations est « OneCoin », qui a permis de voler un montant d’environ 4 milliards de dollars aux investisseurs et qui a mené à 140 arrestations d’individus. Sur l’ensemble des escroqueries révélées au grand jour, seulement 14 ont vu leurs participants condamnés, pour un total d’environ 160 ans de prison[4].

La cryptomonnaie est une représentation numérique de valeur qui n’est régulée par aucun gouvernement ni aucune banque centrale. Bien que virtuelle, elle conserve le rôle d’une monnaie qui est d’effectuer des échanges contre des biens, des services ou contre d’autres monnaies traditionnelles.

Ce manque de régulation se traduit par une cotation reflétant exactement le marché, soit l’offre et la demande[5]. Cela en fait un marché qui est extrêmement volatil, sur lequel nous pouvons observer des fluctuations de grande ampleur en un temps très court.

Les fraudeurs dans ce domaine utilisent pour la plupart des schémas d’escroquerie connus, puis les adaptent et les améliorent. En premier, il convient de citer des fraudes de manipulation de cours tels que le pump & dump, facilement mis en place à l’aide des nombreux réseaux sociaux disponibles à l’heure actuelle. Cela consiste à publier de fausses nouvelles dans le but d’augmenter le cours d’une cryptomonnaie (annonce de prise de position d’un fonds important p. ex.) puis de revendre directement derrière des positions préalablement acquises, impliquant une baisse brutale de son cours. Le but étant d’inciter les investisseurs à acheter ce « coin » en masse et d’empocher rapidement les profits.

Nous pouvons également observer des schémas plus traditionnels tels que les ventes pyramidales ou le système de Ponzi, laissant croire à d’incroyables opportunités d’investissements et des rendements conséquents dans des cryptomonnaies fictives, en remboursant les anciens investisseurs avec l’argent des nouveaux investisseurs. Un cas récent est celui de la plateforme « Arbistar 2.0 », ayant levé une somme en Bitcoins équivalente à 1 milliard de dollars[6] ou « BitClub Network » qui a levé plus de 700 millions de dollars avant que ses dirigeants ne soient inculpés en décembre 2019[7].

Nous citerons également les fausses plateformes de cryptomonnaies mises en place pour dérober l’argent des investisseurs ou encore les cas de pirates qui s’introduisent dans de vrais portefeuilles numériques où les gens stockent leur monnaie virtuelle. Dans ce thème, au mois d’avril 2021, la Turquie a ouvert une enquête après la fuite à l’étranger du CEO de la plateforme d’échange de cryptomonnaies « Thodex », M. Faruk Fatih Ozer, soupçonné d’avoir détourné les actifs de milliers de comptes pour une valeur estimée à 2 milliards de dollars[8],[9].

3.    Prévention et régulation

Face à la montée de la cyber-escroquerie, les gouvernements ont été contraints de reconnaitre l’ampleur du problème et de mettre en place des mesures d’information et de prévention destinées à la population.

Dans ce sens, la North American Securities Administrators Association (NASAA), qui est une organisation à but non lucratif représentant les autorités de réglementation des valeurs mobilières aux États-Unis, au Canada et au Mexique, a désigné la fraude par cryptomonnaie comme l’une des principales menaces pour les investisseurs à l’ère du COVID 19 et donc à considérer comme une priorité en termes de criminalité économique[10].  

En nos terres helvétiques, la Prévention Suisse de la Criminalité (PSC) est une bonne source d’informations en termes de prévention de la criminalité. Il s’agit d’un service intercantonal spécialisé dans la promotion de la sûreté qui a notamment pour tâche de consolider la collaboration policière intercantonale, de former les corps de police et de diffuser des messages de prévention auprès de la population. La PSC a publié une brochure intitulée « Rendements de rêve ? Gare au réveil ! » relative à la fraude à l’investissement sur Internet. Cette dernière expose les 5 phases d’une fraude à l’investissement sur Internet, les points auxquels il faut porter attention avant de se lancer dans de nouveaux investissements et finalement les comportements à adopter. Les détails sont consultables en ligne à l’adresse mentionnée ci-dessous[11].

En termes de régulation suisse, l’autorité fédérale de surveillance des marchés financiers (FINMA) s’occupe de réguler les ICO (Initial Coin Offering, correspondant au lancement d’une nouvelle cryptomonnaie). Ces dernières doivent être traitées au cas par cas afin de savoir sous quelle législation des marchés financiers il est indispensable de les placer ainsi que de déterminer si une licence bancaire est nécessaire. La FINMA applique les dispositions du droit des marchés financiers en vigueur indépendamment des technologies sur lesquelles les services proposés reposent, notamment en termes de lutte contre le blanchiment d’argent [12],[13].

Pour conclure, le marché des cryptomonnaies est jeune et nous n’avons que peu de recul par rapport à ce dernier. Le fait est qu’il est exponentiel et que la législation peut difficilement suivre le rythme de son expansion de manière efficace. Les années à venir démontreront certainement que les cas d’escroqueries suivront les courbes alléchantes de ce marché, reste à savoir si les moyens mis en œuvre suffiront.


[1] FOREX QUEBEC. (2020). Comment le trading en ligne a-t-il changé en 2020? Forex Québec. https://forex.quebec/trading-en-ligne-2020/

[2] Rabouin, D. (2020). Young people are increasingly playing the stock market in a coronavirus-driven gold rush. Axios. https://www.axios.com/coronavirus-stock-market-millennials-gen-z-190eda7b-66a3-4e19-9f44-8dd0dd23f0a4.html

[3] Xangle. (2012). Crypto Investor Scam Report—Over $16 Billion Stolen From Investors Since 2012. https://s3.ap-northeast-2.amazonaws.com/upload.xangle.io/files/xangle_research/crypto_investor_scam_report_xangle.pdf

[4] Xangle. (2012). Crypto Investor Scam Report—Over $16 Billion Stolen From Investors Since 2012. https://s3.ap-northeast-2.amazonaws.com/upload.xangle.io/files/xangle_research/crypto_investor_scam_report_xangle.pdf

[5] AARP. (2020). What You Need to Know About Cryptocurrency Scams. AARP. https://www.aarp.org/money/scams-fraud/info-2019/cryptocurrency.html

[6] Xangle. (2012). Crypto Investor Scam Report—Over $16 Billion Stolen From Investors Since 2012. https://s3.ap-northeast-2.amazonaws.com/upload.xangle.io/files/xangle_research/crypto_investor_scam_report_xangle.pdf

[7] AARP. (2020). What You Need to Know About Cryptocurrency Scams. AARP. https://www.aarp.org/money/scams-fraud/info-2019/cryptocurrency.html

[8] Crawley, J. (2021). Turkish Court Jails Thodex CEO’s Siblings in Crypto Exchange Probe. CoinDesk. https://www.coindesk.com/turkish-court-jails-6-thodex-crypto-exchange-ceo-siblings

[9] Sonkin, M.-C. (2021). Arnaque aux cryptomonnaies : 2 milliards de dollars en fumée. Les Echos. https://www.lesechos.fr/patrimoine/placement/arnaque-aux-cryptomonnaies-2-milliards-de-dollars-en-fumee-1309353

[10] North American Securities Administrator Association. (2020, octobre 6). The Coronavirus is Novel but Crisis-related Scams are Nothing New. NASAA. https://www.nasaa.org/55847/the-coronavirus-is-novel-but-crisis-related-scams-are-nothing-new/

[11] Prévention Suisse de la Criminalité. (2021). Rendements de rêve ? Gare au réveil! https://www.skppsc.ch/fr/wp-content/uploads/sites/5/2021/03/fraude_investissement.pdf

[12] FINMA. (2021). Demandes d’assujettissement et ICO. Eidgenössische Finanzmarktaufsicht FINMA. https://www.finma.ch:443/fr/autorisation/fintech/unterstellungsanfragen-und-icos/

[13] FINMA. (2019). Communication FINMA sur la surveillance : Lutte rigoureuse contre le blanchiment d’argent dans le domaine de la blockchain. https://www.finma.ch:443/fr/news/2019/08/20190826-mm-kryptogwg/