Quand prendra-t-on la cybercriminalité au sérieux?

Sécurité informatique

Exclusif

La cybercriminalité est un problème rampant qui fait d’innombrables victimes. Malgré tout, les autorités de sécurité tardent à prendre en considération le problème. Est-ce que cela est en train de changer?

Si vous suivez un peu mes frasques professionnelles, vous savez pertinemment que cela fait un bail que je discute de cybercriminalité. Récemment, j’étais en train de faire le ménage des vieux articles que j’avais écrits dans les médias et je suis tombé sur des trucs que j’avais rédigés pour La Presse en 2002 au sujet de la cybercriminalité. 2002… Ça fait donc au bas mot 14 ans que je parle de la cybercriminalité sur toutes les tribunes.

En 14 ans, quel est mon constat? Je dois bien me rendre compte que la question de la cybercriminalité n’est toujours pas prise au sérieux par bon nombre d’organisations. Pire encore, une bonne partie de mon cheminement professionnel m’amène à conclure que même les services de sécurité commencent à peine à prendre conscience de la gravité de la situation.

Mon cheminement professionnel m’amène à conclure que les services de sécurité commencent à peine à prendre conscience de la gravité de la situation.

De preuves, des preuves, je sais : vous voulez toujours des preuves.

Le meilleur exemple de cette situation se trouve probablement au Royaume-Uni. Récemment, le pays a décidé de comptabiliser de manière sérieuse des statistiques nationales sur la criminalité. Résultat, la cybercriminalité supplante désormais toutes les autres formes de criminalité en ce qui concerne le nombre de cas. C’est désormais 53% de la criminalité britannique qui se déroule en ligne.

Ce qu’il est intéressant de constater, c’est que le cas du Royaume-Uni est probablement symptomatique de ce qui se passe partout dans le monde. Or, cela questionne évidemment comment les statistiques sont amassées. Bien malheureusement, les méthodes de cueillettes sur la criminalité sont souvent bien désuètes, faisant en sorte que les réalités criminelles ne sont jamais vraiment bien décrites.

Cela est sans compter la question du «chiffre noir» de la criminalité qu’il faut considérer. Le chiffre noir correspond à ces crimes qui sont commis et qui demeurent inconnus, ou tout simplement jamais dénoncés. Lorsqu’on songe au nombre de fraudes qui sont gérées par les systèmes bancaires et financiers, bien souvent en remboursant la somme fraudée à la victime, et que ces crimes ne sont que très peu rapportés aux autorités, on a déjà une bonne idée de la portée réelle de la cybercriminalité. Considérant que j’ai été moi-même fraudé trois fois en 10 ans, je me dis que si je représente une moyenne, ça fait pas mal de monde.

La question de la plainte

La raison pour laquelle la cybercriminalité n’est toujours pas en tête de liste des problématiques criminelle est complexe. Néanmoins, et une partie de la réponse se situe probablement dans le fait que les victimes ne savent pas quoi faire et hésite encore à porter plainte aux autorités.

cyberintimidation

Encore la semaine dernière, j’ai une ancienne étudiante qui communique avec moi pour me demander de l’aide sur un dossier de harcèlement en ligne. Grosso modo, un gars l’avait pris en grippe sur Internet et n’arrêtait pas de lui envoyer des messages douteux et extrêmement désagréables. «Il faut porter plainte à la police», lui ai-je dit.

Pourtant, ce ne fut pas son premier réflexe. Non, son premier réflexe fut de communiquer avec moi. Certes, je veux bien croire que je lui ai enseigné les aléas de la cybercriminalité, mais le réflexe n’est manifestement pas le bon. Si mon cours avait porté sur les crimes contre la propriété et que cette étudiante s’était fait voler son automobile, j’ai l’impression qu’elle n’aurait pas hésité à téléphoner les policiers. Cela me sidère que le tout ne soit pas un réflexe dans le cas de la cybercriminalité.

La criminalité qui ne saigne pas

Contrairement à d’autres formes de criminalités plus classiques, la cybercriminalité ne laisse pas de traces de sang sur le trottoir.

La raison la plus beige pour expliquer le fait que la cybercriminalité n’attire pas l’attention des autorités est le fait que, contrairement à d’autres formes de criminalités plus classiques, la cybercriminalité ne laisse pas de traces de sang sur le trottoir. En d’autres termes, elle ne fait pas physiquement de victimes, ce qui a pour effet de ne pas attirer l’attention du public et des médias, et conséquemment, de ne pas être un enjeu pour les autorités de sécurité. Je ne sais pas combien de fois j’ai entendu cet argument.

Pourtant, considérant la vitesse avec laquelle nous sommes en train de nous tourner vers l’Internet des objets, c’est clair qu’il ne s’agit qu’une question de mois avant que des gens commencent à se blesser, voire mourir à cause d’un piratage quelconque.

Vous pensez que je suis un sale alarmiste qui tente d’obtenir du capital médiatique?

Pourtant, on a déjà des signes avant-coureurs que ça peut arriver, comme cette expérience sur des stimulateurs cardiaques. Et si vous n’êtes toujours pas convaincu, allez voir cette vidéo sur le piratage d’une voiture et vous m’en direz des nouvelles. La prochaine fois que vous verrez un accident sur l’autoroute, demandez-vous : et si c’était l’ordinateur de bord qui avait été détourné?

En attendant, je regarde le tout et je me demande véritablement quand allons-nous prendre la cybercriminalité au sérieux…

  • Serge

    pfff… encore un autre alarmiste inutile… t’es comme ceux qui disent que l’homme est responsable du réchauffement de la planète.

    p.s. C’est une blague là.
    p.p.s. Excellent article en passant :)

  • MClement

    Aujourd’hui dans le confort de son foyer c’est possible de hacker la chaîne d’approvisionnement mondiale (stuxnet), c’est possible de faire s’écraser un avion en utilisant un iPod vieux de 10 ans, on peux facilement hacker tout équipement médical sans-fil (ste-justine et les MAC + les IP tagger sur chaque équipements), c’est possible de tuer sans laisser de trace, le futur devrait terroriser les politiciens et les réveiller, s’agit de modifier les micro-controlleur d’une usine de viande par exemple pour laisser un taux de bactérie élevé, bref juste des opportunités pour les crackers !

    • Tentacle-Sama

      Il ne faut pas non plus penser que les films sont la réalité, ce n’est pas parce que c’est techniquement possible que c’est facile à faire dans des conditions réelles.
      Si en théorie ont peut piraté un contrôleur d’une usine pour faire un sabotage, la réalité est que des bris ou erreur de programmation. Et ces pour ça qu’il y a de nombreux mécanismes de contrôle, indépendant des contrôleurs principaux. Les température des chambres froides des usines alimentaire sont prises plusieurs fois par jour à la main, sur un calepin, et en regardant des thermomètre à aiguille, car c’est ce qui est exigé par les organisme d’inspection.
      De nombreuses installations utilisent encore des chart recorders stand-alone pour contre-vérifier les système de contrôle, qui sont loin d’être infaillibles.

      Certains négligent la sécurité informatique, il faut prendre ces risques au sérieux, mais pas devenir parano non plus.

      • MClement

        C’est pas basé sur des films mais bien sur des articles techno de chose qui ont été faites pour vrai, 96% des automates industriel utilisent des technologies non sécuritaire, un avion à subi une perte de régime avec 300 passagers à bord parce qu’un expert en sécurité voulait prouver un point, des voitures peuvent se faire piloter à distance via la connexion wifi. La paranoia en 2016 c’est juste du gros bon sens, on développe trop vite avec plus de considération pour les profits que pour la sécurité et ça va engendrer de très grave problèmes qu’on va régler trop tard parce que ceux qui décident sont juste trop épais pour comprendre la technologie (ils représentent le peuple qui est lui aussi très épais). Et oui c’est possible de tuer avec un clavier en 2016 et pour moins de 100$.