La cybercriminalité organisée

La double évolution des ransomwares

Des attaques moins nombreuses mais mieux ciblées et plus effectives, font des ransomware la première cybermenace en 2019. Afin d’obtenir les identifiants nécessaires à la mise en place du ransomware, les auteurs ont recours à l’ingénierie sociale, ou à l’achat sur des marchés criminels, et plus rarement un forçage brut. C’est notamment en exploitant les vulnérabilités des bureaux à distance ou via les mails que des ransomware sont implantés.

La deuxième évolution concerne la finalité du ransomware : à l’origine prévu pour chiffrer les données pour exiger un paiement en échange de la clé de déchiffrement, des objectifs plus destructifs entrainant la perte irréversible des données sont apparus.

Europol recommande de renforcer les défenses contre l’ingénierie sociale en profitant des solutions existantes comme le Domain-based Message Authentication, Reporting and Conformance (DMARC) qui n’est implanté que dans 20% des organisations.

Les attaques par déni de service distribuée (DDoS)

Auparavant un moyen d’action des cybercriminels, ceux-ci se retrouvent aujourd’hui ciblés également par ce type d’attaque. À l’instar des ransomware, ce type d’attaque peut être motivé par un gain financier, mais il n’est pas rare que des attaques par déni de service soit menés dans le seul but de rendre le service indisponible.

La compromission des données

Deuxième menace la plus répandue sur les réseaux numériques, la compromission peut concerner des données financières, organisationnelles ou personnelles. Ces transmissions illicites de données peuvent être le fait d’un tiers, d’un partenaire de l’entreprise, ou d’un de ses personnels. Europol estime que les amendes infligées dans le cadre du RGPD sont nécessaires pour sensibiliser les entreprises à une meilleure protection des données de leurs clients. Egalement le screen scrapping permet à un tiers de visualiser l’écran de la victime, lui permettant ainsi de récupérer toutes les informations visibles à l’écran (email, identifiant, mot de passe, etc).

La défiguration de site internet

Bien souvent considérée comme une atteinte « mineure » par les gouvernements, la défiguration des sites Internet est souvent un signe précurseur d’autres attaques car il permet au cybercriminel d’évaluer sa capacité de nuisance. Europol souligne l’intérêt d’une lutte intensive contre ce type d’attaque afin d’enrayer au plus vite le parcours des nouveaux cybercriminels.

La pédopornographie à double facette

Si le phénomène classique de l’exploitation sexuelle des mineurs, se déroule principalement sur le Web traditionnel (et de manière marginale sur le DarkWeb), la difficulté pour les forces de l’ordre provient des technologies employées pour l’échanges des données (faux comptes sur réseaux sociaux, peer-to-peer, chiffrement, VPN, etc.). Un second phénomène, plus récent, est celui du contenu pédopornographique généré volontairement par les victimes. Europol souligne que cette exposition volontaire des mineurs nécessite une sensibilisation et une éducation aux risques d’Internet, d’autant qu’elle peut mener à d’autres situations : extorsion, sextorsion, chantage, etc.

Les fraudes à la carte bancaire

Avec des modes opératoires variés et inchangés, les fraudes aux cartes bancaires sont nombreuses et en lien avec des crimes plus graves tels que la traite des êtres humains. En 2019, 23 millions de carte bancaire étaient en vente sur le Dark Web. Toutefois certaines contremesures ont été mises en place (protocole 3D-Secure, analyse du comportement d’achat, transaction par jeton, authentification forte du porteur de la carte) et limite certaines techniques comme le skimming (copie de la carte). En matière de fraude à la carte bancaire, le paiement instantané complique le contrôle des opérations suspectes par les autorités.

Le Jackpotting

Avec des équipements de plus en plus en accessibles, un mode opératoire de 10 minutes, l’attaque de distributeur automatique de billets est un en pleine évolution. Aujourd’hui de nouveaux modes opératoires se substituent au mode opératoire traditionnel (perçage du distributeur) sans causer de dégât :  grâce au marché criminel, il est possible d’acquérir une clé « constructeur » pour ouvrir le panneau du distributeur et d'ordonner la distribution des fonds soit un via un malware, soit via un hardware prêt à l'emploi (type clé USB).

L’évolution du DarkWeb

Bien que le DarkWeb ne se résume pas à la plateforme TOR, la criminalité sur d’autres réseaux secondaires (Zeronet, Freenet, etc.) reste faible et une migration n’est pas à envisager compte tenu de leur faible fréquentation. L’organisation des groupes criminels évolue : ils fragmentent leurs activités illégales et disséminent plusieurs vendeurs sur des sites individuels rendant plus difficile d’établir des connections et d’identifier une organisation criminelle. La technologie du SmartContract est également employée afin de renforcer la confiance entre le vendeur et l’acheteur, y compris pour des transactions illégales. La création du « crime-as-a-service » met à disposition tous les éléments nécessaires pour la commission de l'infraction: des outils techniques (malware, hardware) jusqu'au profil d’un individu (empreinte digitale, cookies informatiques, mots de passe, informations de paiements, etc.) permettant à l’auteur, même novice, d’éviter les mécanismes de protection mis en place.

La cybercriminalité et le terrorisme

Les infrastructures numériques sont traditionnellement employées par les organisations terroristes à des fins de propagande (forum, partage de fichiers, streaming audio/vidéo, etc.), mais on assiste à une évolution du mode opératoire avec la diffusion en direct des attaques terroristes. Les difficultés rencontrées par les forces de l’ordre sont les mêmes qu’avec la cybercriminalité de droit commun : l’utilisation d’outils légaux (VPN, cryptomonnaies, mitigation de DDoS, etc.) rendent l’identification des réseaux terroristes complexe. De même, le recours au DarkWeb n’a que peu d’intérêt en raison de son nombre restreint d’utilisateurs.

Les cryptomonnaies

Bien que n’étant pas illégales, les cryptomonnaie constituent un enjeu pour les forces de l’ordre car elles peuvent être à la fois l’objet et le moyen de l’infraction. La méconnaissance des victimes accentue leur vulnérabilité. Enfin, les forces de l’ordre ont besoin d’une formation particulière afin de relever les challenges techniques des cryptomonnaies.

Les évolutions de la cybercriminalité selon Europol

Europol s’attend à une hausse des attaques au niveau de la « supply chain » des entreprises (chaine logistique), à des manipulations de la technologie de la BlockChain, à des attaques d’envergure contre les infrastructures DNS, à l’emploi des DeepFake en matière d’ingénierie sociale, de pédopornographie et de sextorsion, la multiplication du « crime-as-a-service » et du « screen scrapping ».

L’innovation contre la cybercriminalité

En conclusion de son rapport, Europol souligne l’importance de l’innovation conjointe public-privée afin d’identifier des technologies-clés présentant des opportunités et des risques pour la cybersécurité tels que la 5G ou les cryptomonnaies. C’est pourquoi aux côtés de l’EU Innovation Hub qui est la plateforme collaborative européenne d’innovation des forces de l’ordre, un Innovation Lab d’Europol devrait être créé afin de devenir un observatoire des nouvelles technologies pour conduire l’innovation au profit de la sécurité intérieure.

Les recommandations d’Europol, en matière législative (l'influence des directives sur la conservation des données et le RGPD notamment) ainsi qu’en matière de coopération, tant au plan international qu’avec les organismes du secteur privé sont à retrouver dans le rapport intégral librement accessible.