Être un apprenti cybercriminel

Rencontres de la sécurité d'Excellium le 19 juin, après des workshops sur comment sécuriser, une session sur comment devenir cybercriminel ? Pour clôturer l’évènement, Nicolas Arpagian, Directeur scientifique du cycle "Sécurité Numérique"à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), Responsable éditorial des communautés chez CCMBenchmark, auteur et professeur, animait une session éloquente : ‘Crime 2.0 : pourquoi le crime paie.’

July 1, 2014

‘Rencontres de la sécurité’ d’Excellium le 19 juin, après des workshops sur comment sécuriser, une session sur comment devenir cybercriminel ? Pour clôturer l’évènement, Nicolas Arpagian, Directeur scientifique du cycle “Sécurité Numérique”à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), Responsable éditorial des communautés chez CCMBenchmark, auteur et professeur, animait une session éloquente : ‘Crime 2.0 : pourquoi le crime paie.’

Sans donner d’astuces pour se lancer dans la cybercriminalité, Nicolas Arpagian est venu démontrer à quel point il est facile aujourd’hui de se munir de malwares sur internet. A partir de quelques dizaines de dollars, n’importe qui peut en acheter un, acheter de quoi espionner une personne, voler des données et/ou les revendre.

Grande demande et offres facile d’accès

S’il y a des malveillances, c’est qu’elles génèrent du business et comme un business se fait entre acteurs, un business croissant dans ce domaine est bien la marque qu’aujourd’hui, les cybercriminels forment des organisations fortes : « s’il y a de l’offre il y a de la demande ».

Vous n’avez aucunes compétences informatiques mais plein d’idées ? Passez par un intermédiaire pour mener à bien vos projets criminels. En exemple, un internaute publie une grille tarifaire de toutes ses compétences : spam, phishing, piratage de compte Facebook pour 20$ en moyenne et dans les prestations plus élevées, création de site de jeu, de divertissement pour adultes, bref, des escroqueries, espionnages et vols en tout genre.

Guide du cybercriminel en herbe ?

Loin de vouloir donner envie aux experts sécurité dans la salle de passer de l’autre côté, la présentation se voulait surtout suffisamment provocante pour se rendre compte de la facilité à trouver de quoi être un cybercriminel. Il y a ainsi ceux qui sont extrêmement bien organisés et agissent en bande mais aussi, potentiellement madame/monsieur tout le monde qui voudrait récupérer des données ou avoir des accès.

Piratage de son propre établissement scolaire pour modifier ses notes, piratage de sa société pour modifier ses chiffres d’affaires ou chef d’équipe espionnant la productivité des équipes, etc. Tout comme les criminels du monde physique, tous ne jouent pas dans la même catégorie, mais un vol de faible envergure reste un vol.

Rien de nouveau dans le monde du crime

Nicolas Arpagian a rappelé qu’Internet n’a pas crée de nouvelles infractions. « Elles se sont seulement transposées dans le monde virtuel. Avec le temps elles sont aussi montées en finesse avec des impacts et conséquences physiques pour : la population, l’environnement, l’économie et la politique. » Le virtuel ne reste pas dans le virtuel, les cybercriminalités ont de réelles incidences.

Justice dépassée

La justice elle, ne s’est pas toujours mise au niveau : un corpus encore inadapté, des sanctions faibles et des flous juridiques. L’attaquant est ainsi favorisé, il y a encore trop de limites administratives pour mener à terme les poursuites rapidement à travers les Etats.

Pour y remédier, les Etats et l’UE revoient les sanctions à la hausse. Au lieu de milliers d’euros forfaitaires pour des vols, on applique des sanctions au pourcentage des chiffres d’affaires.
Le Luxembourg est l’un des derniers pays à mettre en application la convention de Budapest votée en 2001. Les différents articles et protocoles étaient en discussion à la Chambre au début de juin 2014 seulement. Le Gouvernement a prévenu que les cybercriminels ne resteront pas impunis, le code pénal devrait prévoir des peines de prison en plus des sanctions pécuniaires :

  • toute usurpation d’identité ou vol de comptes privés sur Internet : une amende de 251 à 3 000 euros et de 3 mois à deux ans de prison,
  • la contrefaçon de clés ou de comptes électroniques : de 4 mois à 5 ans de prison et de 1 250 à 30 000 euros d’amende,
  • toute autre interception de communications ou vente de dispositifs permettant d’effectuer ces délits : une lourde amende et prison,
  • les opérateurs de télécoms devront aider les enquêteurs et conserver les données sur leurs clients sous peine d’amende.

En attendant toutes les retranscriptions des conventions d’Europe en lois nationales, il y aura encore beaucoup de procès qui feront jurisprudence. Les criminels eux, que ce soit dans le monde physique ou virtuel, n’auront de cesse d’être très inventifs pour déjouer la justice et la sécurité.

Watch video

In the same category