Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Cybercriminalité : des chiffres pour faire peur ?

Daniel Ventre | 01net. | le 19/11/10 à 16h25

Dès le milieu des années 70, les recherches sur la cybercriminalité mettaient en évidence l’apparition de nouvelles menaces. Selon des sondages réalisés aux Etats-Unis au début des années 80, près de 50 % des entreprises interrogées avaient subi un acte de type cybercriminel. Vingt-cinq ans plus tard, la situation n’a fait qu’empirer.

Oubliée l’heure des hackers héros de séries B ! L’artillerie lourde est sortie. La cybercriminalité engloutit des milliards détournés de l’économie, et l’on parle désormais de (cyber)guerre entre Etats. Pour les Américains, l’ennemi public numéro un n’est plus Kevin Mitnick, mais l’armée de hackers chinois ; et pour les Chinois, ce sont les cyberunités de l’armée et les services d’espionnage américains. Quelle est réellement la dimension de la menace ? Difficile à dire. Mais « on » ne cesse d’affirmer qu’elle est grande, chiffres à l’appui.

Ces chiffres nous disent que la forteresse est sous le feu. En 1995, les 2 millions d’ordinateurs du réseau du département de la Défense américain (DoD) subissaient 250 000 cyberattaques. La Defense Information Systems Agency estimait que 65 % de toutes les attaques menées contre ce département avaient réussi ! A la fin des années 2000, le Global Information Grid, principal réseau de l’armée américaine, subissait quotidiennement plus de 3 millions de scans. Le Department of Homeland Security rapportait une hausse de 158 % des attaques subies entre 2006 et 2007.

Ces dernières années, les botnets sont venus noircir le tableau, capables de prendre la main sur des millions d’ordinateurs, comme le célèbre bot Mariposa (espagnol) qui infecta près de 13 millions de machines dans le monde. Les défigurations de sites, phénomène conjoncturel, sont également en hausse constante ces dix dernières années (voir les statistiques sur zone-h.org). Ajoutons à cela les centaines de millions de données nominatives volées annuellement, y compris jusque dans les serveurs (soit-disant sécurisés) de la police et de la Défense ! Peu rassurant.

Des chiffres parfois farfelus

Nous comprenons bien l’effet produit ou recherché par la publication de telles données : renforcer le discours alarmiste, faire prendre conscience de l’imminence d’une catastrophe (les infrastructures sensibles seraient à la merci de n’importe quel vandale). Oui mais… le recours aux chiffres est-il pour autant la garantie d’un tableau objectif ? Les chiffres doivent toujours être interprétés. Trois millions de scans, c’est beaucoup, en effet. Ce serait énorme s’ils portaient sur une seule machine, mais comme ils portent sur un large réseau, ça l’est beaucoup moins. Question de proportions.

Quant aux statistiques du DoD américain de 1995, elles comptabilisaient comme « attaques » les erreurs de saisies de connexion de la part des utilisateurs légitimes ! Ce qui revenait à nous présenter comme ennemis les propres employés du ministère. Se pose donc la question de la méthodologie : qui a produit les données, qu’est-ce qui est mesuré, où, quand, comment ? Faute de sérieux, les chiffres les plus farfelus prennent parfois le devant de la scène, repris sans vérification par les instances les plus sérieuses. Qui croire alors ?

Et puis, quelques millions de tentatives d’intrusion quotidiennes, est-ce si grave que ça, docteur ? Dans le monde virtuel, les échelles de grandeur ne sont pas les mêmes que dans le réel. Quelle importance faut-il alors vraiment accorder à tous ces chiffres, dont on ne sait même pas toujours ce qu’ils mesurent ?
Le message porté par les chiffres nous dit que l’heure est grave. Mais elle ne l’est sans doute pas plus qu’il y a vingt ans, puisqu’on nous tenait alors le même discours et qu’on nous lançait déjà en pâture des données invérifiables. On pourrait même dire que tout va plutôt bien : en effet, sous le choc de millions d’attaques quotidiennes, les réseaux et les serveurs n’ont pas (encore) cédé ! C’est plutôt flatteur pour la sécurité, un signe de bonne santé et de compétence.

Rappelons enfin que la menace n’est pas dans le grand nombre. Un coup bien porté sera plus efficace que des millions de scans sans intelligence.

Source : 01netPro