Panorama des arnaques du Web

Pirater par le biais d'Internet est devenu un vrai business. Il a ses codes, ses tarifs, ses techniques... Et un seul but, gagner beaucoup d’argent. Tour d'horizon et décryptage.

Un cadeau du fisc ? Pourquoi ne pas y croire en cette période de Noël ? Les escrocs du Web ont dû suivre le même raisonnement lorsque, pour appâter des contribuables en leur promettant de les créditer d’une somme inattendue, ils ont envoyé des mails à entête du Ministère du Budget afin de récupérer données personnelles et numéros de carte bancaire.
Le 5 décembre, Bercy alerte les internautes, mais le mal est fait.
Le lendemain, le Midi Libre nous apprend que les clients de l’opérateur Orange ont été victimes d’une escroquerie similaire. Le 12, c’est au tour du Figaro de révéler que la société SCOR aurait déjoué en septembre une tentative visant à détourner 798 000 euros au moyen d’une simple demande de virement.
Les techniques pour réaliser ces escroqueries portent des sobriquets exotiques. On parle de phishing ou hameçonnage. Un modus operandi souvent utilisé dans des attaques sur les particuliers, les entreprises, les administrations et même l’État : plus de 150 ordinateurs infiltrés en décembre 2010 au ministère de l’Économie et des Finances, l’agression ciblant des informations relatives au G20 !

Hadopi détournée
Rien à dire, les pirates ont de la suite dans les idées. Tout récemment, des particuliers, adeptes du streaming, ont été victimes d’un code malveillant bloquant leur ordinateur. Une page affichant le logo de la gendarmerie leur propose de le débloquer en réglant en ligne une amende de 200 euros pour téléchargement illégal. Ou comment retourner la loi Hadopi à son profit : une idée qui avait sans doute échappé au législateur.
Mais les pirates sont toujours à l'affût du meilleur moyen de détrousser les internautes. Selon une étude réalisée par Eurostat en 2010 dans les 27 pays de l'UE, 5 % des internautes Français, soit environ 2 millions de personnes, auraient subi des pertes financières consécutives à une attaque de phishing ou de pharming (type d’hameçonnage qui permet de diriger l’internaute à son insu vers un site maquillé et de récupérer ses informations confidentielles, mot de passe notamment).

Un marché noir du cybercrime
Les pirates ne se contentent pas de ponctionner comptes et cartes bancaires ; ils revendent les données récupérées : de 2 $ pour les identifiants d’un compte sans vérification du solde, à 700 $ pour un solde garanti de 82 000 $. Et parfois même jusqu’à 1 500 $, si le compte a été utilisé pour des achats en ligne ou sur une plateforme de paiement comme Paypal.
Le business a aussi ses produits et services dérivés : vente de copies de cartes bancaires (180 $ minimum), d’appareils à dupliquer les cartes de crédit (de 200 à 1 000 $), blanchiment d’argent et même logistique (achat et expédition de marchandises réglées avec des informations bancaires volées), moyennant des commissions calculées selon les montants ou produits considérés.
Ce réseau souterrain possède ses circuits de distribution, ses pages Facebook ou Twitter, et ses boutiques en ligne où les cyber-escrocs proposent, par exemple, des faux anti-virus. Bizarrement ces boutiques n’acceptent que les paiements effectués, d’avance (!), par des services comme ceux de la Western Union.

Gare à la fraude dans les noms de domaine
La fraude passe aussi par des fausses factures de noms de domaine ! Fréquemment utilisée par les pirates, la technique connue sous le nom de slamming consiste à envoyer aux titulaires de noms de domaine une facture de renouvellement avant l’échéance prévue.
Les clients peu coutumiers des procédures habituelles paient de bonne foi, sans se douter qu’ils signent alors le transfert du nom de domaine à un parfait inconnu… qui ne donnera généralement aucune suite à de quelconques réclamations.
En novembre dernier, suite à des attaques de ce type, les registres du .BE (Belgique) et du .IT (Italie) ont ainsi dû recommander la plus grande prudence après des vagues d'attaques de ce type. Parmi les spécialistes du genre, on trouve une société appelée Domain Registry of America et également connue sous le nom de Domain Renewal Group.
Autres cieux, autres mœurs. En Asie, les pirates contactent les entreprises européennes pour leur expliquer que des noms de domaine basés sur le nom de l'entreprise, de ses marques ou de ses produits vont être d’ici peu vendus à des tiers. Et de proposer "généreusement" de sécuriser ces noms en les enregistrant dès maintenant. Un service non sollicité qui prend ensuite les entreprises victimes en otage.
On trouve aussi, dans la liste des arnaques possibles, l’inscription, soi-disant obligatoire, à un annuaire de référencement de noms de domaine, à un prix particulièrement élevé. L'arnaque est déjà ancienne et se pratique aussi dans le monde réel (les professions libérales en sont souvent la cible).

Gros sous
Ces escroqueries causent à leurs victimes des dommages considérables. Dans le cas du phishing, perte d’argent directe, suite aux ponctions faites sur les cartes ou comptes bancaires, mais aussi perte indirecte, notamment pour les sites de jeux en ligne dont les escrocs revendent, contre argent comptant, les clés de licence ou les personnages des jeux piratés.
Le slamming, quant à lui, peut provoquer la perte d'un nom de domaine ou générer des risques de coupure ou de détournement d'un site associé, entraînant de fait une perte de chiffre d’affaires, mais aussi la détérioration de l’image de marque de l’entreprise et de son e-reputation.

Se défendre
Face à ces attaques, il est possible de ne pas rester victime. Une bonne stratégie de défense envisagée dès le départ et actualisée tous les ans permet de réduire considérablement les risques.
Les outils existent pour ça : l’audit de sécurité des noms de domaine stratégiques de l’entreprise qui révèle toutes les failles potentielles la rendant vulnérable au cybersquatting et au phishing, ou encore les surveillances de noms de domaine ou de marques qui alertent dès qu’un cas suspect est détecté.