Helsinki, en Finlande. Ses nuits jamais vraiment noires, sa viande de renne aux airelles, Linux, et Mikko Hypponen. C’est au siège de l’éditeur F-Secure que nous avons rencontré le gourou de l’antivirus Finlandais. Aux côtés d’Eugene Kaspersky (Kaspersky Labs) ou de Graham Cluley (Sophos), Mikko Hypponen fait partie de ces quelques figures historiques du petit monde de l’antivirus. Le rencontrer permet de faire le point sur la menace virale aujourd’hui : quelle est-elle, qu’est-ce qui est à la mode ? Quelles attaques sont particulièrement en vogue ?

Premier constat, et ce n’est guère une surprise : le vol de données personnelles fait partie des meubles : « C’est devenu une fonctionnalité standard chez tous les codes malicieux que nous recevons aujourd’hui. Quoi qu’il fasse ensuite, le virus commence par explorer tous les fichiers, fouiller tout le disque dur, afin de récupérer notamment les adresses emails et les numéros de sécurité sociale américains qu’il peut trouver ».

Mais là où l’on s’attendrait à ce que le pillage se limite aux données généralement perçues comme confidentielles (les numéros de carte bancaires par exemple), les criminels semblent avoir étendu le spectre de leurs activités à des informations moins évidentes. « Nous découvrons chaque mois des centaines de nouveaux chevaux de Troie destinés à voler les identifiants de jeux en ligne, essentiellement World of Warcraft ou Lineage », poursuit Mikko Hypponen. La pratique n’est certes pas récente mais le volume des codes malicieux spécialisés dans le vol d’identifiants de jeu en ligne est désormais quasi-industriel. Les nombreux joueurs à s’être faits dépouiller leur personnage comprennent ainsi mieux comment cela a pu leur arriver (qui a dit « Internet Explorer n’était pas à jour ?) ».

Plus original en revanche, le poker en ligne fait son apparition parmi les cibles favorites des pirates. F-Secure note ainsi l’arrivée de chevaux de Troie destinés à dérober spécifiquement les identifiants des comptes de poker en ligne. « Le pirate se connecte ensuite à la place du joueur. Il entame une partie contre lui-même via un autre compte qu’il a créé. Bien sûr il joue très mal avec le compte de sa victime, et il la plume donc rapidement. Il lui suffit ensuite de solder l’autre compte et le tour est joué », détaille Mikko Hypponen. Et bien entendu, lorsque la victime viendra se plaindre, tout ce que le site de jeu en ligne verra c’est qu’elle a joué contre un adversaire et qu’elle a perdu. Imparable.

Le phishing 2.0

Si le phishing est désormais une pratique bien connue, Mikko Hypponen en voit apparaître une variante beaucoup plus sournoise basée sur le principe de l’Homme du Milieu (Man-in-the-middle). « Lorsque l’utilisateur arrive sur la fausse page d’accueil de sa banque et entre son identifiant et son mot de passe, le site de phishing les utilise d’abord pour se connecter à sa place sur le vrai site de la banque. Cela lui permet d’extraire des informations personnelles du code HTML de la page, telles que le vrai nom de l’utilisateur, les derniers chiffres du numéro de sa carte bleue, etc… Grâce à ces informations, le serveur pirate construit alors une fausse page de confirmation. Cette dernière demande par exemple de compléter le numéro de carte bancaire et d’y ajouter le code PIN, l’adresse, la date de naissance, etc. Puisque l’utilisateur voit s’afficher son vrai nom et de vraies informations, il n’aura aucun doute sur la véracité de la page », met en garde Mikko Hypponen. Selon F-Secure, cette technique est mise en oeuvre relativement facilement à l’aide d’un simple kit de phishing disponible en ligne.

Quelle que soit la méthode de vol des identifiants bancaires, le détournement des fonds suit généralement peu de temps après. Selon F-Secure, les systèmes mis en oeuvre par les pirates n’ont rien à envier aux plate-formes professionnelles, au point que certains préviennent leur auteur par SMS dès que l’argent est prêt à être transféré. Et lorsque les comptes ne sont pas pillés, ils sont revendus, probablement par des pirates qui ne veulent pas avoir à gérer eux-même le blanchiment de l’argent volé. « Actuellement, un lot de trois comptes bancaires avec plusieurs milliers de dollars dessus et avec l’option de transfert de fonds activée se négocie environ 500$ », révèle Mikko Hypponen.

Le défaitisme guette

Que faire face aux réseaux très bien organisés de vol de données, de détournement de fonds, de blanchiment d’argent ou de racket en ligne ? La majorité de cette « industrie » est aujourd’hui bâtie sur les PC de Monsieur-Tout-Le-Monde, détournés à son insu et assemblés en un « réseau de bots » (botnet). La chose n’est pas nouvelle et cela fait un moment déjà que l’industrie cherche à contrer la prolifération de ces botnets. A l’origine de ces PC détournés se trouvent souvent des utilisateurs mal informés et peu techniques, qui sont infectés en quelques minutes parce que leur navigateur n’est pas à jour de ses correctifs de sécurité, ou parce qu’ils n’hésitent pas à cliquer n’importe où et sur n’importe quoi.

Face à cette population d’internautes, l’éducation demeure la solution la plus politiquement correcte. Mais Mikko Hypponen dit tout haut ce que l’industrie pense probablement tout bas : « L’éducation ne fonctionne pas. C’est une perte de temps. Il y aura toujours des utilisateurs prêts à cliquer sur n’importe quoi, ou à acheter les marchandises offertes dans les spams. Et cela suffit à entretenir le business des pirates », conclue-t-il.

Et il semble que l’actualité lui donne, hélas, plutôt raison…