Message de demande de rançon par cryptovirus

Le piratage informatique en France : un cyberimpôt

Dossier : ExpressionsMagazine N°734 Avril 2018
Par Philippe LAURIER

Les attaques numé­riques touchent des socié­tés par­fois jus­qu’à la mort, mais frappent aus­si l’en­semble des inter­nautes par effet de crainte, perte de temps ou ran­çon­nage. Il convient de repen­ser la sécu­ri­té de nos com­mu­ni­ca­tions pour évi­ter que le cybe­rim­pôt ne tue le cyberespace. 

Une étude de ter­rain menée depuis 2016 par Sys­temX sur la quan­ti­fi­ca­tion du risque infor­ma­tique sur l’ensemble du ter­ri­toire fran­çais, avec une soixan­taine de petites entre­prises et d’associations loi 1901 vic­times d’attaques, révèle que le seuil sym­bo­lique de 1 % de pro­ba­bi­li­té d’être vic­time d’une attaque par chif­fre­ment de don­nées, par an, est lar­ge­ment franchi. 

Aujourd’hui, réunir quelques dizaines de petits patrons, par exemple de TPE, est la qua­si-cer­ti­tude sta­tis­tique de trou­ver par­mi cet audi­toire une vic­time sur l’année.

DES CENTAINES DE MILLIONS D’EUROS DE PRÉJUDICE

Deux types d’attaques res­sortent du pay­sage : d’une part les cryp­to­vi­rus (chif­frer vos don­nées, puis vous récla­mer une ran­çon), d’autre part la fraude « au pré­sident » (ain­si que les faux ordres de vire­ments) trop hâti­ve­ment cir­cons­crite à ne rele­ver que de l’ingénierie sociale. 

L’X EN PREMIÈRE LIGNE ?

L’École polytechnique en serait un observatoire représentatif, qui subit des tentatives régulières à l’instar de ce « Pour déverrouiller votre accès au courrier, veuillez cliquer ici » diffusé sur la messagerie un vendredi soir – horaire prisé des pirates – via le compte d’une personne interne.
Le caractère rudimentaire de ce libellé, qui joue lui aussi sur une espérance d’ordre statistique puisqu’il balaye un public nombreux, s’efface aujourd’hui devant la qualité des formulations, des motifs, des usurpations d’identités, et laisse craindre à court terme une incapacité à discerner le vrai du faux, l’original de sa copie piégée.

Cha­cun des deux engendre un pré­ju­dice annuel chif­frable en cen­taines de mil­lions d’euros au moins. L’espionnage par voie numé­rique s’ajouterait à ce duo, mais sa faible détec­ta­bi­li­té le main­tient dans l’ombre, hor­mis lorsqu’il décide de se rendre visible, par exemple avec les cap­ta­tions de mots de passe per­met­tant les prises de contrôle de votre messagerie. 

Le volume, sou­vent sous-éva­lué, des attaques par cryp­to­vi­rus est atté­nué par leur faible coût finan­cier uni­taire, typi­que­ment de quelques mil­liers d’euros pour une petite PME, loin en cela des sommes, par­fois sur­éva­luées, lues dans les gros titres de presse. 

Le fait que la médiane et le mode soient quant à eux encore bien au-des­sous de ce mon­tant moyen des­sine une pyra­mide des pré­ju­dices faite d’une base très large, consti­tuée d’une majo­ri­té de vic­times pour les­quelles le dégât res­te­ra modeste, sou­vent grâce à la pré­sence de sau­ve­gardes régulières. 

Mais la pointe, avec son étroi­tesse, mon­te­ra très haut dans sa tra­duc­tion pécu­niaire, jusqu’à deve­nir létale pour des entre­prises aux tré­so­re­ries sou­vent tendues. 

DES PONCTIONS UNITAIREMENT TOLÉRABLES, COLLECTIVEMENT CONSIDÉRABLES

Pareille pyra­mide explique mieux la média­ti­sa­tion de quelques cas graves, voire mor­tels, qui forment la par­tie visible de l’iceberg, mais masquent la bana­li­sa­tion insi­dieuse des attaques à bas coût : logique d’acceptabilité intel­lec­tuelle d’ailleurs entre­te­nue par les pirates, dont les ran­çons deman­dées ont un mon­tant usuel de l’ordre de 2 000 à 3 000 euros, c’est-à-dire tolé­rable dans l’arbitrage qu’un entre­pre­neur sera ten­té d’effectuer entre endos­ser les consé­quences des pertes de don­nées ou s’en « libé­rer » par ran­çon (libé­ra­tion illu­soire, puisque les obser­va­tions montrent la récur­rence future des répliques d’attaques pour qui aura déjà été victime). 

1 À 2 MILLIARDS DE DÉGÂTS POUR LES CRYPTOVIRUS

Les cryptovirus causent chez les seules entreprises de moins de 50 employés un montant de préjudice estimable à plus de 700 millions d’euros par an. Élargie à l’ensemble des entreprises, établissements publics et associations de loi 1901 françaises de toutes tailles, cette estimation aboutit à un coût de l’ordre de 2 milliards par an, en gardant à l’esprit qu’il s’agit de l’option basse des fourchettes dégagées.

Qui a payé… paie­ra, ou tout au moins y sera expo­sé sans limite de durée. Quoique ces répliques soient auto­ma­ti­sées pour la plu­part, tel cas récent chez un arti­san a mon­tré que les pirates s’étaient ména­gé un accès via le dis­po­si­tif infor­ma­tique domes­tique de ce gérant pour reve­nir chif­frer à nou­veau les don­nées sur son sys­tème d’information pro­fes­sion­nel dans les semaines suivantes. 

Le coût géné­ral de ces cryp­to­vi­rus com­mence à être cer­né, mal­gré une omer­ta qui a long­temps régné çà et là : de manière cocasse et para­doxale, il res­sort de nos études sur le ter­rain une règle empi­rique que plus une entre­prise pos­sède un ser­vice com­mu­ni­ca­tion struc­tu­ré, plus elle sera réti­cente à com­mu­ni­quer sur les attaques subies. 

LE PRÉJUDICE NATIONAL EST DIFFICILE À CERNER

Rap­por­té à notre PIB natio­nal, de l’ordre de 2 100 mil­liards, un tel mon­tant sem­ble­rait équi­valent à 1 pour mille. Mais cette com­pa­rai­son est pour­tant impropre. 


Mes­sage de demande de ran­çon par cryp­to­vi­rus (cap­ture d’écran).

En effet, d’une part le chiffre d’affaires qu’aura per­du telle entre­prise mise à l’arrêt du fait du pira­tage se tra­dui­ra par­fois en com­mandes pour son concur­rent (et pour son four­nis­seur, on se sou­vient d’un pirate alle­mand lié fami­lia­le­ment à un petit pres­ta­taire infor­ma­tique, qui espé­rait ain­si géné­rer des clients deman­deurs de secours), mais donc pas par une perte pour le PIB : les pré­ju­dices indi­vi­duels ne s’additionnent pas pour consti­tuer le pré­ju­dice collectif. 

D’autre part, ces recen­se­ments de jours de tra­vail ou de com­mandes per­dus, et des frais tels que de remise en route, mesurent mal les manques à gagner futurs, ceux qui résultent d’investissements annu­lés par l’entreprise. De même, ils ne don­ne­ront qu’une per­cep­tion comp­table tron­quée des dégâts indi­rects à long terme cau­sés par la mort d’une entreprise. 

Il serait plus juste de rai­son­ner en termes de nui­sance au fonc­tion­ne­ment éco­no­mique, qui oriente trop d’investissements vers une sécu­ri­té, d’ailleurs impar­faite, plu­tôt que vers de l’équipement pro­duc­tif ; qui mobi­lise des temps/homme crois­sants au détri­ment d’autres tâches plus utiles, enfin qui acca­pare l’esprit des déci­deurs confron­tés à ces risques. 

UN CYBERIMPÔT

Voyons en tout cela un impôt, qua­li­fiable de cybe­rim­pôt, qui han­di­cape l’économie, nuit aux rela­tions inter­en­tre­prises et déren­ta­bi­lise en par­tie la numé­ri­sa­tion de ces socié­tés. Ce cybe­rim­pôt rogne le consti­tuant imma­té­riel qu’est la confiance, qui per­met d’ouvrir un cour­rier élec­tro­nique sans hési­ta­tion, et avec elle la flui­di­té de l’activité.

« Qui a payé… paiera ! »

Cet impôt s’alourdit au fil des années, en pro­por­tion de l’augmentation des attaques, et affecte l’emploi ain­si que la dyna­mique des pro­duc­teurs de richesses. 

Si la ten­dance à l’aggravation se main­tient, l’adage vou­lant que « l’impôt tue l’impôt » – héri­té de Jules Dupuit (X1822) – se trans­for­me­rait en « le cybe­rim­pôt tue l’économie » ; d’ailleurs, les niveaux d’ores et déjà obser­vés attestent d’un seuil inter­mé­diaire, résu­mable en bles­sure pour l’économie, deve­nant mor­telle pour quelques-uns. 

Fraude au sentiments
Pho­to­gra­phies uti­li­sées par les « fraudes aux sentiments ».

Des Bitcoins
Le bit­coin est la mon­naie pré­fé­rée des ran­çon­neurs. © FABIAN

FUITE DE CAPITAUX

Une autre maté­ria­li­sa­tion de cette ponc­tion appa­raît sous forme de sor­tie des capi­taux : les ran­çons ver­sées par les entre­prises, quoique dif­fi­ciles à esti­mer concer­nant les très grandes entre­prises, qui répugnent à com­mu­ni­quer sur ces sujets sen­sibles pour leur image de marque, consti­tuent pour l’essentiel des sor­ties de cet argent hors du ter­ri­toire français. 

LES FRAUDES « AU PRÉSIDENT »

En comparaison, les « fraudes au président » s’avèrent source de sortie de capitaux plus importantes, estimables à plus de 100 millions d’euros par an. Le ministère de l’Intérieur évoque environ 80 millions d’euros captés par an sur les dernières années, montants massivement transférés hors de France, mais reconnaît qu’il ne couvre pas tout le périmètre réel.
Par leurs razzias ciblées sur les comptes bancaires des entreprises ainsi ponctionnés, de tels voleurs « propres » ne les tuent pourtant pas moins, comme en atteste une entreprise de 60 employés liquidée après avoir retrouvé ses avoirs bancaires vidés fin août – autre période prisée des pirates – en 2015.

Ce racket est un tri­but ver­sé par la France. Sur ce point cepen­dant, les torts éle­vés subis par l’ensemble des vic­times des cryp­to­vi­rus se pro­longent par des sor­ties de capi­taux quant à elles faibles. Le dégât direct géné­ral se révèle envi­ron 35 fois supé­rieur à ce qu’encaissera le pirate, c’est-à-dire son « chiffre d’affaires » : ce type d’attaque casse beau­coup, sac­cage le patri­moine d’une socié­té, mais récu­père assez peu de butin. 

Ain­si, la mon­naie « exfil­trée » de France par ce type d’attaque se compte en dizaines de mil­lions d’euros, avec un plan­cher vrai­sem­blable de l’ordre de 20 mil­lions pour les entre­prises de moins de 50 personnes. 

Ajou­tées aux « fraudes aux sen­ti­ments », très actives sur les réseaux sociaux et visant en par­ti­cu­lier les per­sonnes en situa­tion de soli­tude, et à l’ensemble des autres types d’attaques, le flux sor­tant d’argent se mesure au total en cen­taines de mil­lions d’euros par an, soit pour com­pa­rai­son plus de 1 % du défi­cit de notre balance cou­rante (de 24 mil­liards en 2016). 

VERS UNE ASPHYXIE DE L’ÉCONOMIE ?

Ces niveaux de pré­ju­dice, indi­vi­duels comme col­lec­tifs, aux­quels s’ajoute un pre­tium dolo­ris lui aus­si sous-esti­mé, alors qu’il s’agit de crises anxio­gènes et désta­bi­li­sa­trices, ne consti­tuent plus un épi­phé­no­mène mais un fait cen­tral dont la pré­sence passe de la simple gêne au han­di­cap ou à la douleur. 

“ Ce cyberimpôt rogne la confiance ”

Toute future aggra­va­tion forte, comme la pente actuelle semble l’y conduire, condui­rait à terme à une asphyxie lente du tis­su éco­no­mique. Cer­tai­ne­ment serait-il bon, à l’instar de ce que pré­co­nise Louis Pou­zin (50), en pre­mière étape de repen­ser à moindre coût le fonc­tion­ne­ment en soi de nos réseaux de télé­com­mu­ni­ca­tion, plu­tôt que de se conten­ter d’apposer chez l’utilisateur final des couches de sécu­ri­té oné­reuses sur un sub­strat insécurisé. 

Faute de quoi, sinon, à terme le cybe­rim­pôt tue­ra cette fois le cyber.

Poster un commentaire