secu-interieure: iOCTA 2016 : la cybercriminalité dépasse désormais la criminalité traditionnelle

lundi 19 décembre 2016

iOCTA 2016 : la cybercriminalité dépasse désormais la criminalité traditionnelle

C'est le constat fait par l'unité "cybercriminalité" d'Europol, l'EC3. Le rapport 2016, appelé iOCTA (qui suit celui de 2014 (à lire sur securiteinterieure.fr : Alors que la cybermenace s'accroît, la cybercriminalité augmente en Europe (rapport iOCTA 2014)) et de 2015 (à lire sur securiteinterieure.fr : Europol incite à une vision davantage proactive de la cybersécurité)), dresse un bilan inquiétant : la cybercriminalité supplante la criminalité traditionnelle dans certains Etats membres de l'UE et les organisations criminelles s'intéressent de près à la technologie utilisée dans les cartes de paiement sans contact.

Conséquence de l'augmentation de la cybercriminalité : une ampleur des dommages financiers inédite

Le rapport iOCTA 2016 (Threat Internet Crime organisé Assessment) 2016 note une accélération croissante des tendances observées dans les évaluations précédentes. L'augmentation des dommages financiers a atteint un tel niveau dans certains pays de l'UE que la cybercriminalité a dépassé la criminalité traditionnelle.
Certaines attaques, comme les ransomware, que le rapport précédent avait attribué à une augmentation de l'agressivité de la cybercriminalité, sont devenues la norme, éclipsant les menaces traditionnelles de malware tels que les chevaux de Troie. Le menace selon laquelle des groupes extrémistes utilisent des techniques cyber pour mener à bien des attaques semble être actuellement limitée. En revanche, la disponibilité de services et de moyens illicites (les armes à feu par exemple) sur le Darknet, peut faire évoluer la situation.

Bon nombre des principales menaces restent largement inchangées par rapport au précédent rapport. Ransomware, chevaux de Troie et logiciels bancaires malveillants demeurent en tête des menaces. Il s’agit d’une tendance peu susceptible de changer dans un avenir prévisible. Les réseaux pairs-à-pairs et un nombre croissant de forums sur le Darknet continuent à échanger du contenu pédopornographique. Ce volume est accru par du contenu auto-généré (self-generated indecent material - SGIM).

Les cartes de paiement sans contact dans le viseur des cybercriminels

Les technologies EMV (puce et code PIN), et d'autres mesures comme le géoblocage continuent de réduire, sein de l'UE, les cas de fraude en présence de carte. En revanche, la proportion de fraude hors présence de carte continue de croître.
L'e-commerce, les sites de vente de billets d'avion, de location de voiture et d'hébergement sont les plus durement frappés. Les organisations criminelles structurées commencent désormais à détourner des paiements effectués grâce aux technologies NFC (carte de paiement sans contact). La qualité globale des campagnes de phishing a augmenté. Ces campagnes sont dirigées vers des cibles d’importance, et utilisent des techniques, telles que la fraude au supérieur hiérarchique.

Les attaques DDoS continuent de croître en intensité et en complexité. Alors que les attaques visant à extraire des données continuent à se concentrer sur des acteurs à la solidité financière forte, une autre tendance est à noter : il s’agit du détournement des données médicales ou des données relatives à la propriété intellectuelle. Les crypto-monnaies, comme le Bitcoin, restent des vecteurs privilégiés pour une grande partie des cybercriminels, que ce soit comme moyen de paiement ou comme moyen de recevoir des sommes d’argent versées par des victimes d'extorsion. Certains membres clés de la communauté Bitcoin, tels que des changeurs, se trouvent d’ailleurs être eux-mêmes la victime de cybercriminels.

Des nouveaux modes d'action qui ne démodent pas les plus anciens

Par ailleurs, la mauvaise utilisation croissante de l'anonymat et de chiffrement des outils/services légaux à des fins illégales constituent un sérieux obstacle aux opérations d’enquête et de poursuite. Pour les services de police, cela crée un dilemme : le cryptage renforcé est très important pour le commerce électronique et d'autres activités du cyberespace, mais une sécurité adéquate dépend de la capacité pour la police d'enquêter sur les activités criminelles.

Il existe une forte innovation au sein de la communauté cybercriminelle, mais beaucoup de ses membres ont recours à des failles et des vulnérabilités techniques bien connues, certaines d’entre elles ayant près de dix ans.
Il convient de noter à ce propos que la majorité des attaques est ni sophistiquée, ni avancée sur le plan technologique. De nombreuses attaques réussissent notamment au regard de la mauvaise conception des outils informatiques, d’une sensibilisation insuffisante à la cybersécurité, ou de la négligence des utilisateurs.
Cependant, de nouveaux modes opératoires ont été découverts, combinant des approches existantes, l'exploitation de nouvelles technologies ou l’identification de nouvelles cibles.

Selon Europol, le modèle de réseau utilisé par l’EC3 continue de fournir des résultats tangibles dans la lutte contre la cybercriminalité au niveau européen et au-delà. Le nombre d'opérations réussies appuyées par le EC3 est passé de 72 courant 2014, à 131 en 2015. Ces opérations, qui comprennent des acteurs européens et issues de pays tiers, ont impliqué des services de police et des autorités judiciaires, ainsi que des partenaires de l'industrie, du secteur financier, de la communauté CERT et des universités. Toutefois, les services de police, les décideurs politiques, les législateurs nationaux, les universités et les organismes de formation doivent renforcer leur collaboration. Les cadres, les outils et les programmes existants restent trop lents et trop bureaucratiques.

Des solutions préconisées

Plutôt que de multiplier les partenaires investissant et développant les mêmes domaines de compétence spécialisée, il serait, selon Europol, plus efficace que chacun d’entre eux se concentre sur des compétences de base distinctes et les mette à la disposition des autres.

En outre, l'EC3 et les services de police en général ont besoin de plus de moyens nécessaires pour faire face au défi grandissant d’une cybercriminalité en expansion. Les efforts menés doivent permettre de recruter les ressources nécessaires pour enquêter sur la cybercriminalité, et acquérir des compétences spécifiques, par exemple en matière de criminalistique numérique, d’analyse du Big Data et d’enquêtes sur le Blockchain.

Afin de minimiser les chevauchements inutiles et la duplication des efforts, Europol suggère le développement d'un «écosystème cyber-sécurité» au niveau de l'UE et au-delà. Il s’agit d’identifier tous les partenaires concernés et de cartographier les réseaux. Sont concernés notamment l’EC3, INTERPOL, l’agence européenne de coopération judiciaire Eurojust, l’agence européenne de sécurité des réseaux (ENISA), la CERT de l’Union (CERT-EU), le Collège européen de police (CEPOL), la Cellule internationale de Coordination Cyber crime (IC4), la National Cyber-Forensics and Training Alliance (ANJFC) et la Cyber Defence Alliance (CDA).

Un aspect important à cet égard est l'implication systématique des services nationaux de police en liaison avec les agences de l'UE, telles que l'ENISA et CERT-UE ainsi que des équipes nationales d'intervention en cas d'urgence informatique (CERT) sur les aspects police ayant trait à la cyber-sécurité. Pour Europol, la police devrait être pleinement engagée dans le cadre de la directive Sécurité des réseaux et de l'information (directive SRI) étant donné que les enquêtes et les poursuites en matière de cybercriminalité est essentielle pour ce type de domaine, le cyber, par essence transversal.

(synthèse et traduction du texte par securiteinterieure.fr)