Atlantico, c'est qui? c'est quoi ?
Jeudi 25 Août 2016 | Créer un compte | Connexion
Extra

Confessions d’un voleur d’identité (à lire absolument pour ceux qui souhaitent protéger leur compte en banque et leurs données privées)

Dans un reportage récent, Dmitry Naskovets, un ex-hacker biélorusse, rapportait avec précision comment il s'était fait rémunérer pendant plusieurs années afin de pirater l'identité d'autres personnes, et se faire ainsi passer pour elles avec une relative facilité.

Attrape-moi si tu peux

Publié le - Mis à jour le 31 Juillet 2015
Confessions d’un voleur d’identité (à lire absolument pour ceux qui souhaitent protéger leur compte en banque et leurs données privées)

Il existe de bonnes pratiques simples et gratuites à mettre en œuvre pour ne pas se faire voler son identité. Crédit Reuters

Atlantico : En termes de données en ligne, les vérifications de base (questions de sécurité, nom de jeune fille de la mère, etc.), sont-elles insuffisantes pour assurer la "validité" d'une personne ? 

Franck DeCloquement : Faire usage de faux papiers, ou utiliser une autre identité que la sienne pour leurrer autrui n’est pas une pratique nouvelle.

Elle trouve son origine pour l’essentiel dans le dispositif de l’administration d’Etat-Civil occidental, qui a été institué dés le XVII siècle, puis s’est très rapidement diffusé à l’échelle globale. Tout naturellement, la cybercriminalité cible désormais "l’identité" qui demeure l’une des infractions qui connait la plus forte croissance au niveau mondiale. Cette fraude devient massive et parfaitement courante. Ces actions frauduleuses s’appuient toujours sur l’anonymat des malfaiteurs et la dématérialisation des données que procurent les dernières technologies numériques. Tout les pays occidentaux sont particulièrement touchés par ce phénomène criminel, puisque très administrés. Mais aussi, parce qu’ils représentent une cible privilégiée, car chaque citoyen doit pouvoir justifier en permanence de son identité pour quérir les avantages sociaux associés aux précieux documents (Aides sociales, protection judiciaire, risques assurantiels, droits à la retraite, Mutuelles, etc.). L’usurpation d’identité et ses corollaires s’étendent donc à tous les domaines de la société ou est instituée la dématérialisation des données et la prégnance du numérique. Dés lors, l’usurpation numérique offre un renouveau incontestable à cette menace globale des plus graves : l’abus de confiance, et les escroqueries diverses ayant pour conséquence des préjudices économiques et moraux faramineux pour les Etats, les individus et les entreprises.

Peu ou proue, les actions déloyales des prédateurs qui visent à capter frauduleusement ces données personnelles, ont recours aux stratégies de la subversion pour mystifier et manipuler à leur guise leurs cibles, ou l’environnement de celles-ci. On désigne communément ces méthodologies d’actions insidieuses sous la dénomination "d’ingénierie sociale".

Dés 2005, l’ancien hacker "black hate" repenti Kevin Mitnick dans son Best sellers "the Art of Deception" (l’Art de la tromperie), se proposait d’exposer tous les scénarios d'arnaques et d'escroqueries possibles, basés sur "l'art de la persuasion et de la manipulation"… Par ce biais, Mitnick qui voulait en démocratiser la connaissance, démontrait que les "vulnérabilités humaines" se devaient d’être au centre des politiques de protection des données personnelles. Qu’elles pouvaient être testées de la même manière que l’on test du matériel informatique. De son point de vue, aucun "pare-feu" ou protocole de cryptage ne seraient jamais assez efficace et "intelligent" pour stopper des individus parfaitement motivés, ou des organisations criminelles déterminées à ravir des données confidentielles…

Le facteur humain est donc l’élément clé et le "point nodal" des actions de prévention en la matière. Mais c’est aussi le "maillon faible" des dispositifs de sécurité en matière de NTIC. Un personnel peu ou mal informés, ou des collaborateurs qui ne respectent pas les consignes strictes de sécurité par déloyauté ou simple défiance, constitueront à coup sûr des points d’entrées et des cibles privilégiées pour tout hacker belliqueux qui se respecte.

Le récent témoignage du pirate repenti Dmitry Naskovets que vous évoquiez en introduction de notre interview, en donne un très bon exemple. L’entrée dans l’ère du numérique et des données de masse a eu tendance à faciliter ces actions subversives, et à en démultiplier les effets dévastateurs et pervers. Offrants aux truands de tous poils, l’occasion rêvée d’exercer anonymement leur art en toute discrétion, et d’accélérer consécutivement la diffusion de leurs méthodes frauduleuses chez les apprentis pirates…

Prévenir de cette occurrence était d’ailleurs l’objet d’un ouvrage que j’ai coécrit en 2009 avec Emmanuel Lehmann : "Petit traité d’attaques subversives contre les entreprises / Théorie et pratique de la contre-ingérence économique".

Nous y exposions dans le détail sur 500 pages, les multiples façons pour des prédateurs avisés de leurrer les perceptions et l’intelligence d’autrui, afin de commettre leurs forfaits. Notre traité ayant pour vocation - in fine - d’enseigner en outre, comment se prémunir au quotidien des actions "d’ingénierie sociale", de "déception" et "d’élicitation" dans le cadre de la petite et moyenne entreprise. Nos préceptes d’alors sont aujourd’hui plus que jamais d’actualité… Nous y avions adopté à la fois le point de vue de "l'attaquant" et celui de "la victime", et y expliquions via moult détails, pourquoi certaines "attaques par impostures" réussissaient immanquablement. Mais aussi, comment elles auraient pu être déjouées assez facilement, si les particuliers et les personnels qualifiés étaient très régulièrement informés et formés pour cela.

Ce manuel de "contre-ingérence" dans le registre économique donnait également des outils précieux de réflexion et d’orientation aux directions d’entreprises, afin que leurs investissements pour sécuriser leurs systèmes d’informations et évaluer les collaborateurs qui les servent, puissent fournir des résultats probants.

Une économie parallèle s'est-elle développée autour du trafic d'identité ? Peut-on acheter le dossier médical d'une personne par exemple, pour ensuite prendre sa place ?

Une économie souterraine des données interceptées frauduleusement existe bien, en effet. Il s’agit d’un véritable marché noir de type "mafieux" qui se base sur l’existence de plateformes de commerce en ligne, illégales et secrètes. Dans la cadre du Darkweb, ces sites noirs ont souvent été exploités. A l’image des services cachés de Tor, connus des spécialistes pour être sans surveillance du trafic potentiel… On dénombrait, il y a encore peu, plus de 800 forums criminels à travers le monde. Nous entrons ici dans les recoins les plus obscurs du web. La face noire de "la toile" en quelques sortes : Tout y est imaginable et envisageable en l’occurrence. Le culot criminelle est au commande et rend possible les opérations de détournements et le commerce des usurpations d’identités, les plus incroyables et les plus audacieuses. Les malversations numériques se professionnalisent de jour en jour, et leur ampleur ne cesse de croitre au fil du temps. Il existe donc, un véritable "marché noir" des informations identifiantes et des données numériques volées, qui circulent et peuvent être échangées ou monnayées sur la toile, pour qui sait comment les acquérir…

On pense immédiatement ici à "Skillroad 2.0", fermé en 2013 par le FBI et fondé par l’emblématique Ross William Ulbricht, agissant sous le pseudonyme de "Dread Pirate Roberts", ou plus récemment à l’affaire "Darkode", du nom de ce site en ligne saisi par le FBI dans le cadre d'une enquête judiciaire actuellement en cours, menée conjointement avec les autorités d’Europol et plus d’une vingtaine de pays à travers le monde.

Les cybercriminels utilisaient en effet "Darkode" comme relai pour échanger et faire commerce de  leurs données volées, pour pirater des services et programmer des cyber-attaques visant indistinctement des gouvernements et des entreprises. "Darkode" était un site en ligne protégé sur lequel on ne pouvait accéder que sur "invitation". Pendant de très nombreuses années, les cybercriminels les plus accomplis du monde entier ont vendu leurs marchandises et leurs services sur ce forum. Selon l’expert en cybercriminalité Brian Krebs qui avait opportunément pu infiltrer ce forum pour en comprendre tous les ressorts, ce dark site représentait en définitive un véritable "carrefour virtuel" pour les pirates informatiques de tout acabit, en provenance de plus d’une vingtaine de pays, et d’horizons sociaux totalement disparates.

On pense aussi à "The Pirate Bay", un site de partage en ligne connu pour violer allègrement les droits d’auteur. "The Pirate Bay" était utilisé pour référencer des ressources disponibles à des fins de téléchargement via les réseaux peer-to-peer. "The Pirate Bay" permettait aux utilisateurs de télécharger des fichiers BitTorrent (torrents), qui sont des petits fichiers qui contiennent des métadonnées nécessaires pour télécharger des fichiers de données d'autres utilisateurs. Les torrents sont organisés en catégories : "Audio", "Vidéo", "Applications", "Jeux", "porno" et "Autres"

Les cybercriminels inculpés de "Skillroad 2.0", ont quand à eux été accusées de crimes en vue de commettre une fraude informatique, des opérations de blanchiment d'argent, mais aussi des ventes et l’utilisation de programmes informatiques malveillants de type "fishing" ou "cheval de Troie" (Trojan en anglais : programmes qui peuvent capturer des données à distance, et à partir d'ordinateurs personnels et de téléphones cellulaires). Au total 28 personnes ont été interpellées dont 12 Américains. Dans le cadre de cette enquête en cours, trois Israéliens auraient d’ailleurs été arrêtés par la cyber-unité de la police israélienne "Lahav 443", rapportait récemment le site d’information en ligne Ynet News. Tous sont suspectés d'avoir commis une série de cybercrimes - y compris le piratage de sites web - la prise de contrôle de boutiques virtuelles en ligne, le vol d’informations et de données personnelles et confidentielles, contenues dans des cartes de crédit selon le dernier rapport fourni par le FBI. L’un des Israéliens interpelé est en outre suspecté d'avoir participé à des transferts de fonds, au profit d'une organisation terroriste...

Opportunément, les données volée par un hacker "black hate" peuvent voir leur valeur démultipliée, quelques mois après la commission du forfait. Une information peut alors valoir très cher, et sa valeur atteindre des sommets au fur et à mesure que le temps passe. Son "stockage" en vu d’une revente éventuelle ou d’un échange illicite est donc un bon placement pour le pirate. C’est de l’intrusif frauduleux pur et dur, pouvant être assimilé à de l’espionnage dans certains cas. Ces agissements existeront toujours, car nous avons ici affaire à des pratiques criminelles qui sont millénaires. Désormais, les technologies numériques, la dématérialisation des données et l’ère du Big Data permettent l’accélération de ces actions de captations clandestines des données, et en simplifie le commerce frauduleux en ligne. La pratique est ancienne, mais la manière d’agir via l’émergence des NTIC en a renouvelée l’usage.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par borissm - 26/07/2015 - 13:39 - Signaler un abus article bourré

    de fautes d'orthographe, de références appuyées aux ouvrages de l'auteur ("expert en intelligence économique" ? économique, peut-être; pour le reste...), de phrases ampoulées qui illuminent bien mal le lecteur. Mal fait et prétentieux, un article nulach, comme dirait mon fils.

  • Par Claude.Liauzu - 27/07/2015 - 12:08 - Signaler un abus Titre alléchant mais contenu zéro

    Le titre m'a attirée, mais si le contenu de l'article est intéressant sur le plan des généralités, il n'est d'aucune utilité.

  • Par schangi - 28/07/2015 - 10:11 - Signaler un abus Bla-bla-bla prétentieux

    Bla-bla-bla prétentieux, fautes d'orthographe et néologismes obscurs : un article inutile qui ne nous apprend rien !!! A mettre à la poubelle

  • Par Pourquoi-pas31 - 31/07/2015 - 20:23 - Signaler un abus On attendait des recettes

    on a eu un devoirs de BAC Phylo, assez mal structuré.

  • Par Pourquoi-pas31 - 31/07/2015 - 20:24 - Signaler un abus On attendait des recettes

    on a eu un devoirs de BAC Phylo, assez mal structuré.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Franck Decloquement

Franck DeCloquement est expert en intelligence économique pour le groupe Ker-Meur et ancien de l’Ecole de Guerre Economique de Paris (EGE). Professeur à l'IRIS (Institut de Relations Internationales et Stratégiques) pour le Master 2 IRIS Sup' en « Géo-économie et intelligence stratégique », diplôme délivré conjointement par l'IRIS Sup' et l'ESC Grenoble, Franck DeCloquement est aussi conférencier sur les menaces émergentes liées aux actions d'espionnage, et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu récemment pour la SCIA (Swiss Competitive Intelligence Association) à Genève, et les assises 2015 de la FNCD (Fédération Nationale des Cadres Dirigeants) au Sénat.
 

Voir la bio en entier

Je m'abonne
à partir de 4,90€