A travers plusieurs cas d’école, le CLUSIF (Club de la Sécurité des Systèmes d’Information Français) a voulu dresser un panorama des cyber-menaces en 2002. L’exercice est périlleux, mais l’association s’en tire honorablement : son étude dresse une cartographie des menaces majeures de l’année écoulée et l’on voit se dessiner le profil d’un millésime qui fut à la fois riche en nouveautés tout en confortant les tendances de 2001.Ainsi, le vol de données personnelles et la fraude qui lui est souvent associée semblent s’être industrialisés en 2002. Les cas sont plus nombreux, d’une plus grande envergure et, surtout, plus lucratifs. L’année écoulée aura ainsi été témoin de la plus grosse affaire de vol d’identités, ainsi que de plusieurs cas similaires, tous aux Etats-Unis. Au chapitre des fraudes, l’étude aborde également le chantage et l’extorsion de fonds, deux sujets généralement peu abordés dans de telles enquêtes. Elle cite pour cela deux exemples intéressants (Fujitsu et Bloomberg).Autre tendance issue de 2001 et largement consolidée en 2002, l’utilisation régulière des réseaux de Peer To Peer comme vecteur d’infection virale. Cela a été le cas avec des vers tels Benjamin et plus récemment Lirva, qui ajoute le P2P à sa panoplie de vecteurs d’infection.Des vers, du spam et des vers spammeurs…Toujours dans le domaine des vers, l’étude digresse pour citer un cas unique : la rencontre entre spam et code viral, avec FriendGreetings. Cette carte de voeux qui vous fait signer une autorisation avant d’infecter tous vos correspondants est, elle, vraiment une innovation de 2002 !Le spam, lui, n’est guère une nouveauté mais il était difficile de faire l’impasse sur ce phénomène en 2002. L’année aura été marquée à la fois par des initiatives officielles à travers le monde contre cette nuisance (avec la CNIL en France ou la Commission Fédérale du Commerce aux Etats-Unis), et des procès franco-français. L’étude en cite d’ailleurs quelque uns, tous perdus par les spammeurs. Elle contribue ainsi à montrer comment 2002 a ouvert la voie à la chasse au spam, qui sera probablement l’un des axes forts de 2003.Impossible bien sûr de dresser le bilan de l’année écoulée sans parler de l’attaque par déni de service contre les treize serveurs DNS racines d’Internet, mais le CLUSIF ne s’y attarde pas trop : après tout, l’incident a été plus symbolique qu’efficace.WiFi, Yescards et petite délinquance à l’honneurPlus répandus et potentiellement plus inquiétants, les réseaux sans fil de type 802.11 y sont en revanche largement étudiés. L’étude dresse un bilan plutôt alarmant du WiFi en 2002 : de plus en plus utilisé par les entreprises, qui ignorent pourtant tout de sa (non) sécurité. Elle donne quelques exemples d’outils et liste brièvement les risques et les coûts cachés associés à un déploiement de hot spot radio.Dernier point abordé par l’étude, les Yescards de seconde génération. L’année 2002 aura vu au premier janvier le changement de la « signature » secrète des cartes bancaires, ce qui a rendu caduques toutes les Yescards de première génération. Le nouveau code utilisé est toujours inconnu des pirates, qui ne peuvent donc plus signer eux-même leurs cartes. Cela les oblige à posséder une véritable carte bleue afin d’utiliser son code de validation dans les Yescards de seconde génération, apparues durant l’année dernière. Et où se procurer une carte bleue valide, sinon auprès de son propriétaire légitime ? C’est là que l’étude quitte le domaine de la cyber-criminalité pour toucher, sinon à la criminalité, en tout cas à la petite délinquance, qui semble s’être désormais rapprochée du milieu des pirates.