Cliquez pour atteindre la page correspondante...

La sécurité sur le Net

La criminalité informatique

Introduction

Intrusions

Les Troyens
histoire
principe
lutte
exemples

Les attaques

La criminalité
informatique

Identification

Firewall

Conseils
mot de passe
mises à jour

La criminalité informatique est un vaste domaine, dont les frontières ne sont pas toujours faciles à définir.

Voici un bref aperçu de ce monde étrange. Chaque pays a une législation différente sur ce sujet, et a réagi plus ou moins vite face à ce problème. En Europe, la Suède a été le précurseur, en instituant une loi en 1973, qui considérait comme crime, l'acquisition non autorisée de données stockées, alors que les Pays-Bas n'ont considéré l'intrusion (sans dégâts) dans un ordinateur comme un crime qu'après 1990.
En France, l'atteintes aux systèmes du traitement automatisé des données, est punie de 1 à 3 ans de prison, ainsi que de 100 000 à 300 000 francs français d'amendes.

Il existe une classification de la criminalité informatique. Elle nous est proposée par David L. Carter, professeur au département de justice pénale de l'université de l'état du Michigan.

Une première catégorie comprend des actions telles que le vol d'informations, le vol de plans de nouveaux produits, de listes de clients. Ici le terme d'espionnage industriel n'est pas galvauder. Il y a ensuite le chantage basé sur des informations obtenues par le vol de fichiers médicaux, bancaire. Le dernier en date, une banque allemande de Nuremberg, la Noris Verbraucherbank, s'est vu menacer lors des fêtes de Noël 97 par un jeune Hacker, ce dernier avait volé 500 000 Deutsch Marck pour prouver qu'il possédait tous les numéros de comptes et codes secrets des clients de cette banque. Le pirate demande toujours 1 million de Deutsch Marck pour ne plus utiliser ces numéros. Sabotage des données ou du système les accès non autorisés aux fichiers des autorités, pour y modifier des données comme un casier judiciaire, voir même son permis de conduire.

Destruction sans but précis, volontaire ou non, de données et l'exploration avec intrusion dans un système, juste pour le plaisir d'y aller, sans intention d'y voler quoi que ce soit. Il faut savoir que 70 % des entreprises attaquées par des hacker déposeraient leur bilan dans les 18 mois (source : Infosec). Outil d'un crime conventionnel.

Cette catégorie comprend les cas où l'ordinateur facilite le travail des criminels. On trouve dans cette classification, les détournements de fonds. Le dernier en date, en France, c'est déroulé à l'encontre de la C.R.A.M.I.F., la Caisse Régionale d'Assurance Maladie d'île de France. Un ancien employé, auteur du programme de paiement, a détourné 17 millions de francs. Cette catégorie comprend aussi le meurtre par modification des ordinateurs d'un hôpital, du dosage des médicaments d'un patient...

Là aussi, la France, a connu une affaire de ce style. Il y a quelques semaines, un mari peu scrupuleux, s'est le moins que l'on puisse dire, à utiliser son ordinateur, pour se connecter à celui de l'hôpital dans lequel se faisait soigner sa femme. Il a simplement déconnecter les ordinateurs qui maintenaient sa femme en vie, et cela sans avoir mis un pied dans la chambre de la patiente. Le crime informatique passe aussi par des serveurs fournissant des données illégales, avec pour le plus affreux, la pornographie enfantine, mais n'oublions pas non plus les nazis , skin-head....

Il existe, une dizaine de groupes de Hackers qui se sont fait une spécialité dans le casse systématique de sites nazis et pédophiles, les plus connus étant les groupes Phants et Thalion. Il existe une catégorie comprenant en fait des crimes "classiques", adaptés à l'ordinateur comme la copie de logiciel et la contrefaçon de matériel. Il faut savoir que près de la moitié des 523 millions de nouveaux logiciels utilisés de par le monde sont des copies. Le manque a gagné pour 1997 était estimé à 11,2 milliards de dollars. (Source : Houston Chronicle).

Après avoir classifié la criminalité informatique, définissons la grande branche qu'est le Hacking. Le Hacking est l'activité du hacker. Les sens donnés au terme hacker sont très variées. A la base, un hacker est une personne qui a du plaisir à explorer en détail un système programmable et qui cherche à étendre au maximum ses connaissances dans ce domaine. Actuellement, le terme est généralement employé pour designer des personnes s'introduisant illégalement dans des systèmes informatiques.

Une étude effectuée en 1992 par USA Research Inc. a montré que le nombre d'intrusions dans des systèmes informatiques aux Etats-Unis, est passé de 339 000 en 1989 à 684 000 en 1991. Ces chiffres sont à prendre avec prudence, car très peu de cas sont effectivement rapportés aux autorités. Le NCCS estime que moins de 10 % des cas d'intrusions sont signalés, les entreprises victimes de Hackers, n'ayant pas du tout envie de se faire une mauvaise publicité, en avouant leurs faiblesses.

Il faut savoir qu'un tiers des entreprises américaines ont été attaquées au moins une fois par un hacker. En France ? Vu les chiffres que l'on peut glaner, mais malheureusement avec aucune véritable confirmation, on ne serait pas très loin du chiffre américain. On sait seulement que 40 % des entreprises françaises connaissent les risques d'un virus et seulement 5 % de ces entreprises pensent avoir été victimes d'un hacker. (source : Agence Arthur Andersen).

Les 1er cas d'école Dans les années 80, un hacker nommé Michael Sinergy, pénétra dans le système informatique de l'agence de crédit nationale, TRW, qui détient des informations financières sur près de 80 millions d'Américains, dans le but d'aller consulter le fichier du président Ronald Reagan. Il découvrit le fichier qu'il cherchait et vit que 63 autres personnes avaient consulté la même information le même jour. Il remarqua un groupe de 700 personnes qui semblaient détenir la même carte de crédit et l'historique de leur compte était étrange. Ils semblaient ne pas avoir de passé. Il réalisa qu'il devait très certainement être en train de consulter l'historique des crédits, ainsi que les noms et adresses de gens qui travaillaient dans le cadre du programme gouvernemental de protection des témoins. En bon citoyen, il s'empressa de prévenir le FBI de cette faille potentielle dans la sécurité de leur programme de protection.

En France, un hacker avait trouvé le moyen de reprogrammer à distance les taux de change d'un distributeur de billets. Il s'octroyait, par exemple un taux de change de 5 dollars pour 1 franc, changeait 100 francs. Il effectuait l'opération inverse, le taux de change passait à 5 francs pour 1 dollar et il retournait changer ses dollars et recevait ainsi 2500 francs !

En 1988, sept criminels ont effectué un détournement de fonds à la First National Bank de Chicago. Ils ont transféré 70 millions de dollars appartenant à 3 grosses compagnies, sur un compte dans une banque de New-York, puis, de l'a, dans deux banques à Vienne. Les transferts ont été ordonnés par téléphone. La banque a appelé ses clients pour demander confirmation du transfert, mais les appels étaient détournés vers la résidence d'un des criminels. Les sociétés volées se sont vite rendu compte de l'affaire et une enquête a été ouverte. Grâce aux enregistrement des appels de confirmations, les enquêteurs ont pu appréhender les sept criminels avant qu'ils ne prennent la fuite.

Fry Guy est un hacker de 17 ans, habitant dans l'Indiana (USA). En 1989, il est passé maître dans l'art de commander les centraux téléphoniques de la compagnie locale de téléphone et il a trouvé un moyen de se faire un peu d'argent de poche facilement. Il contacte un commerçant en se faisant passer pour un employé d'une société de cartes de crédits et arrive à lui faire donner son numéro de client et son mot de passe. Munit de ces informations, Fry Guy se connecte sur l'ordinateur de la compagnie de crédit pour trouver la liste des clients du commerçant. Il choisit un client relativement "à l'aise" au point de vue crédit, relève son numéro de téléphone et son numéro de carte de crédit. Il détourne la ligne téléphonique (Phreaking) de sa victime vers une cabine téléphonique dans la petite ville de Paducah, et la ligne de la cabine vers un des ses téléphones. Il appel une banque pour faire un virement dans leur agence de Paducah en débitant la carte de sa victime. La banque rappelle pour demander la confirmation du transfert et c'est lui qui répond. Il ne lui reste plus qu'à rétablir les lignes téléphoniques et à aller récupérer l'argent.

Retour haut

Contact : securinet@free.fr

Dernière mise à jour :