La sécurité sur Internet

Lutter contre les maliciels

©David Rooney

Il y quelques années, certains utilisateurs de Microsoft Windows ont subitement vu leurs fichiers personnels transformés en charabia. Cherchant fébrilement le programme apte à déchiffrer leurs fichiers, ils ont pu lire ce message:
« Notre logiciel s’est installé sur votre ordinateur alors que vous étiez connecté à Internet. Tous vos documents, textes et bases de données ont été archivés, avec un long mot de passe… Ne tentez pas de chercher le programme qui a encodé vos informations… Inutile de porter plainte, la police ne connaissant pas le mot de passe… Vous perdriez tout contact avec nous et donc toutes les informations cryptées ».La victime était alors dirigée vers une boutique en ligne où le mot de passe devait lui être divulgué à condition d’y effectuer un achat.L’extorsion n’est pas rare sur Internet. Dans ce cas, le maître chanteur se nommait « Archeus », une forme de virus appelé cheval de Troie. Comme dans la légende, il semble inoffensif, mais contient une série de logiciels malveillants, ou « maliciels » : vers, portes dérobées, logiciels espions, programmes furtifs, réseaux zombies, etc. Les maliciels peuvent être aussi polyvalents qu’un couteau suisse.Les vers de dernière génération peuvent introduire des « zombies » (« bots » en anglais) par des « portes dérobées » et établir ainsi un « réseau de zombies » (« botnet »), c’est-à-dire un réseau d’ordinateurs travaillant ensemble à l’insu des utilisateurs, pour détruire les données personnelles, saboter les systèmes informatiques et mener des attaques de type déni de service distribué (DDoS) pour submerger les sites web par un trafic inhabituel et les rendre inaccessibles. Les réseaux de zombies peuvent compter des centaines, voire des milliers d’ordinateurs. Voilà deux ans, la police néerlandaise a arrêté deux opérateurs qui avaient organisé plusieurs réseaux de zombies, totalisant 1,5 millions d’ordinateurs contaminés et impliqués dans des opérations de fraude, de vol d’identité et d’extorsion en ligne.Les maliciels ne sont plus des blagues inoffensives, mais une forme de cybercriminalité et une industrie lucrative. Aisément trouvables en ligne, ils sont accessibles aux néophytes. Bon marché et faciles d’utilisation, ils peuvent occasionner des attaques bien plus étendues que ce dont seraient techniquement capables leurs utilisateurs. Un réseau de 1 000 à 2 000 zombies peut être obtenu pour 50 à 60 dollars par semaine, ou 33 cents par ordinateur infecté.Les entreprises de sécurité informatique sont dépassées par le nombre de maliciels en activité. L’une d’elles emploie 50 ingénieurs pour analyser près de 200 cas par jour, chiffre qui augmente constamment. Une autre reçoit quotidiennement entre 15 000 et 70 000 fichiers d’utilisateurs ou d’équipes CSIRT (intervention en cas d’incident de sécurité informatique). Aujourd’hui, les maliciels sont plus difficiles à détecter et donc à quantifier. De plus, la terminologie et les critères de classification varient selon les pays, ce qui s’accorde mal avec la nature mondiale d’Internet et de la cybercriminalité.Il est difficile d’évaluer les pertes financières dues aux maliciels. En 2006, au Royaume-Uni, les banques ont chiffré les leurs à 33,5 millions de livres (62 millions de dollars), soit une hausse de 90 % en deux ans. Une enquête auprès de 52 professionnels en TIC estimait les pertes à 9,3 milliards d’euros pour la même année. Quant aux particuliers, ils leur en a coûté aux États-Unis quelque 7,8 milliards de dollars sur deux ans.Les particuliers sont les plus touchés : ils sont victimes de 93% des attaques. Comment réagir ? En 2005, un rapport commandé par le gouvernement australien a révélé que seul un internaute sur trois disposait d’un antivirus à jour et qu’un ordinateur sur sept seulement disposait d’un pare-feu. Aux États-Unis, on estime à pas moins de 59 millions le nombre d’internautes hébergeant des logiciels espions ou d’autres types de maliciels. Un chiffre qui surprend au vu des nombreuses mises en garde existantes. Il est vrai que les antivirus sont souvent coûteux, rapidement obsolètes et du coup pas forcément perçus comme efficaces. Une enquête sur 17 antivirus montre que seuls 48 % environ des logiciels malveillants étaient découverts, ce qui confirme leur caractère insidieux et envahissant. Les pouvoirs publics pourraient, en se fondant sur des recherches plus poussées, proposer des mesures qui inciteraient les acteurs du marché à réagir face aux maliciels. Ces incitations pourraient être d’ordre économique ou juridique, ou mobiliser d’autres mécanismes, en tenant compte des conditions propres aux différents marchés et des règles juridiques comme des comportements informels. Les acteurs effectueront leur propre arbitrage sur le type de mesures de protection qu’ils jugeront appropriées et raisonnables. Certains fournisseurs de services, dans le secteur de la finance par exemple, pourraient trouver moins coûteux d’indemniser les victimes des maliciels que d’investir dans de nouvelles technologies de sécurité. Il est important également d’informer les utilisateurs finaux. Beaucoup ignorent par exemple qu’ils ne sont pas tenus responsables quand un maliciel infecte leur ordinateur pour en attaquer d’autres.Surtout, un changement de mentalité est nécessaire, chacun devant assumer sa part de responsabilité – particuliers, éditeurs de logiciels ou pouvoirs publics.Dans ses lignes directrices sur la sécurité des systèmes d’information, l’OCDE reconnaît que la protection des réseaux nécessite une approche préventive : il est aussi important d’anticiper les menaces que de les atténuer une fois qu’elles se concrétisent. Une réaction rapide est cruciale, mais insuffisante. Chaque année, l’intervalle se réduit entre la découverte d’une faille et son exploitation malveillante. Il est vrai que le taux de détection augmente, mais on ignore si cela est dû à l’amélioration de la détection ou à une prolifération accrue des logiciels malveillants. L’ampleur des attaques a également diminué, mais cela pourrait annoncer un changement de stratégie avec, au lieu d’attaques de faible ampleur, des attaques soudaines et massives échappant à la détection. En outre, de nouveaux maliciels visent maintenant aussi les appareils mobiles.Internet connaît une explosion des maliciels et il ne serait pas réaliste de réclamer une sécurité absolue. Mais parce qu’ils sapent la confiance en Internet, il faut lutter contre eux. Dans son rapport Les logiciels malveillants : une menace à la sécurité de l’économie de l’Internet, l’OCDE fait appel aux gouvernements, au secteur privé, à la communauté technique et à la société civile pour former un « Partenariat anti-maliciel » en vue de réduire les failles des logiciels, de développer la sensibilisation, de mettre en place des codes de bonnes pratiques et d’améliorer la coordination des équipes d’intervention en cas d’incident de sécurité informatique (CSIRT). La nécessité de recourir à une approche cohérente face à un problème mondial n’est pas nouvelle. Cependant, les logiciels malveillants présentent de nouveaux défis : pour les combattre, un inventaire plus complet et une meilleure coordination des politiques publiques sont souhaitables.  LTRéférences
  • Voir « Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information : vers une culture de la sécurité », sur www.oecd.org/sti/securitevieprivee.
©L’Observateur de l’OCDE n° 268, juillet 2008



Données économiques

Courriel gratuit

Recevez les dernières nouvelles de l’OCDE :

Flux Twitter

Abonnez-vous dès maintenant

Pour recevoir notre édition papier en anglais par courrier


Edition en ligne
Editions précédentes

Ne manquez pas

  • G20: « Le temps est venu d’accroître les dépenses publiques » (Le Monde)
  • En France, les inégalités salariales se réduisent chaque année. Les salaires des femmes cadres de moins de 30 ans sont « seulement » inférieurs de 5 % à celui des hommes, selon l’Association pour l’emploi des cadres (APEC) dans une étude publiée en mars 2015.Les réseaux féminins ont-ils encore un rôle à jouer dans le monde du travail ? (Le Monde)
  • Pourquoi les fils d’immigrés ne réussissent-ils pas à l’école aussi bien que leurs sœurs? Un article du journal Le Monde.
  • L'intégration rapide des réfugiés est la clé de la croissance économique en Europe, selon le FMI et l'OCDE, présents à Davos, le forum économique mondial qui se déroule du 20 au 23 janvier. Lire l'article du Monde ici.

  • Expliquez-nous... l'OCDE par FranceInfo
  • "Nous avançons à une vitesse d'escargot" sur le climat, estime Ban Ki-moon. Le secrétaire général des Nations Unies confie au journal Le Monde son optimisme sur la conclusion d’un accord international permettant de contenir le réchauffement en cours, en dépit des obstacles.
  • La France est "l'un des pays où l'anxiété en classe est la plus fortement ressentie" explique Eric Charbonnier, analyste à l'OCDE.
  • Après le vote des mesures sociales demandées par l'Union européenne et le FMI, prévu pour le 22 juillet au soir, le gouvernement grec "va reprendre immédiatement les négociations avec les institutions, UE, BCE et FMI, qui doivent durer jusqu'au 20 août au plus tard".
  • Peut-on réduire l'immigration légale? Le député français de l’Yonne Guillaume Larrivé, membre de l'opposition, a proposé que les parlementaires fixent des plafonds d’immigration annuels. Thomas Liebig, spécialiste des migrations internationales à l’OCDE, analyse cette proposition pour le journal La Croix.
  • "Les 40% les plus pauvres, les classes moyennes, manquent de moyens pour investir dans le capital humain", explique à L'Express l'économiste Michael Förster, spécialiste des inégalités à l'OCDE.
  • La lutte contre le travail au noir franchit un nouveau seuil. Selon le bilan 2014 publié par Les Echos, le montant total des redressements imposés par les Urssaf pour « travail dissimulé » s’est élevé à 401 millions d’euros, contre 320 millions l’année précédente.
  • Le Secrétaire général de l’ONU Ban Ki-moon rallie le soutien de l’OCDE: « 2015 est une année des plus cruciales pour l’humanité ».

Articles les plus lus

Blog OECD Insights

NOTE: Les articles signés expriment l’opinion de leurs auteurs
et pas nécessairement celle de l’OCDE ou de ses pays membres.

©Tous droits réservés. OCDE 2016