Les plates-formes d'échange de fichiers sur des réseaux peer-to-peer (P2P), souvent associées au téléchargement illégal ou à la diffusion de la pornographie sur Internet, sont de nouveau sous les feux des projecteurs aux Etats-Unis. Selon des parlementaires américains, leur utilisation constituerait un risque pour la sécurité nationale.

Pour Henry Waxman, député démocrate de Californie, les outils de P2P comme LimeWire ou Morpheus pourraient offrir la possibilité à des gouvernements étrangers, des organisations terroristes ou des réseaux mafieux d'accéder à des informations confidentielles et vitales pour les Etats-Unis (numéros de cartes bancaires, documents financiers ou stratégiques, ordres militaires, etc). Son collègue Tom Davis, député républicain de Virginie, a récemment proposé une loi renforçant la sécurisation des données sensibles détenues par l'administration américaine.

Selon ces parlementaires, un accident, à savoir la diffusion non-intentionnelle d'un fichier via un logiciel de P2P est vite arrivé. Au début de l'année, rapporte News.com , le ministère des Transports américain a eu affaire à un cas. La fille d'une employée de cette administration avait ainsi installé le logiciel Limewire sur l'ordinateur de sa maman, adepte du télétravail. Mal configuré, le logiciel avait mis des documents du ministère ainsi que des archives nationales à la disposition de n'importe quel quidam, dont un journaliste de Fox News qui s'était empressé de rapporter l'affaire.

Au Japon, plus grave, ou du moins plus spectaculaire, un employé de la police de Tokyo a diffusé sans le savoir les données personnelles de 12 000 individus, obtenues lors d'enquêtes criminelles, sur le réseau de P2P nippon Winny.

Parmi les documents, indique l'AFP, des rapports d'interrogatoires, des dépositions de victimes mais aussi un fichier sensible contenant les noms et adresses de 400 membres présumés du gang de yakuzas Yamaguchigumi, le principal syndicat du crime du Japon. Les autorités nippones ont, depuis lors, interdit l'installation de logiciels de peer-to-peer sur les ordinateurs des postes de police. Mais aux dernières nouvelles, la hiérarchie peinerait à se faire obéir.

L'alerte figure en page d'accueil des sites du CIC et du Crédit mutuel depuis le 25 juillet. Mais ce sont plus de 500 établissements bancaires dans le monde qui seraient menacés depuis près d'un mois, selon la société spécialisée dans la sécurité informatique Cert-Lexsi, par une attaque de grande ampleur visant à pirater les comptes de leurs clients. Et pour une fois, il ne s'agit pas de phishing.

L'opération de piratage menée actuellement par les cybercriminels exploite en effet la technique, plus vicieuse, du pharming. Comme le phishing, celle-ci vise à rediriger les internautes vers de faux sites Web imitant celui de leur banque, afin de leur dérober leurs informations de connexion (identifiant et mot de passe). Mais la redirection ne s'effectue pas à partir d'un lien détourné comme dans le cas du phishing. Avec le pharming, l'internaute est redirigé après avoir accédé au véritable site de sa banque. Autrement dit, alors qu'il se croit à l'abri de toute manipulation.

Ainsi, un internaute qui veut consulter ses comptes sur le site du CIC, va s'y connecter réellement mais aussitôt après la page d'identification, il se retrouve sur une page piratée imitant une page officielle. Il est alors invité à entrer les clés d'identification nécessaires pour effectuer des virements vers des comptes extérieurs à sa banque. Les pirates à l'origine de l'attaque récupèrent ainsi non seulement l'identifiant et le mot de passe mais également les clés personnelles de l'internaute, qui serviront à effectuer des virements frauduleux.

Pour mettre en oeuvre cette technique, les pirates ont recours à des virus de type cheval de Troie. Ces derniers s'installent sur le PC des victimes à leur insu et déclenchent leur action le moment venu. L'infection intervient généralement lors de la consultation de sites Web piégés.

Dans l'affaire mise en lumière aujourd'hui, le virus a été identifié par les éditeurs de logiciels de sécurité sous le nom d'Anserin (par Symantec) ou de Torpig (par Sophos ou Panda). Il n'est pas récent - BNP Paribas avait effectué une alerte similaire il y a un an. Mais une nouvelle variante a été découverte le mois dernier par Cert-Lexsi. La société estime à 300 000 personnes touchées, avec un potentiel de fraude de 70 millions d'euros.

Pour se protéger, il faut bien entendu avoir un antivirus à jour et être extrêmement vigilant lorsque l'on se connecte à son site bancaire. Enfin, l'utilisation d'un programme spécialisé dans la chasse aux logiciels espions est particulièrement recommandé. Microsoft propose le sien et McAfee vient tout juste de lancer Rootkit Detective. Ces outils, la plupart du temps gratuits, permettent de détecter la présence de logiciels malveillants et de les éradiquer. Selon McAfee, le nombre de ces poisons informatiques a plus que doublé au cours du premier semestre. De quoi inciter à la prudence !

Après deux ans d'enquête, la police a mis fin à une vaste escroquerie visant les 52 millions d'utilisateurs de téléphones mobiles en France. Lundi matin, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) a interpellé trois dirigeants français d'une entreprise crapuleuse, soupçonnés d'avoir mis en place une arnaque au portable s'appuyant sur la technique du « call back ». Elle aurait fait des centaines milliers de victimes en France, rapportant à leurs auteurs plus de 600 000 euros.

Le principe de l'escroquerie est simple. Cela consiste à appeler les victimes sur leur mobile, à faire sonner leur combiné une fois avant de raccrocher. Intrigués, les destinataires de ce coup de fil rappellent leur interlocuteur mystérieux. C'est là que le piège se referme puisqu'il s'agit d'un numéro surtaxé débouchant sur une tonalité ou sur de la musique en boucle. Mais l'appel est très payant pour les escrocs. Ils peuvent toucher 40 à 90 centimes d'euro par appel. Au mois de février 2007, l'UFC-Que Choisir s'alarmait de la recrudescence de ce type d'arnaque.

Dans l'affaire dévoilée cette semaine, les escrocs avaient carrément industrialisé le procédé grâce à des ordinateurs capables de passer automatiquement des centaines de milliers de coups de fil. Le logiciel utilisé par les pirates était réglé pour ne faire sonner les téléphones portables qu'une seule fois. « Les escrocs comptaient sur la réceptivité et la curiosité des propriétaires de téléphones pour les piéger », confie une source proche de l'enquête.

Un tiers des personnes ciblées auraient tenté de rappeler le correspondant fictif. L'arnaque a été mise à jour par plusieurs opérateurs téléphoniques étonnés d'un très grand nombre de plaintes de leurs clients au sujet d'appels payants basés sur un numéro unique commençant par 0899. « J'ai reçu un appel que j'ai manqué, nous explique Julien. J'ai donc rappelé et là j'ai compris le piége, mais il était trop tard. »

Les trois personnes arrêtées ont, semble-t-il, étaient inspirés par une escroquerie du même genre, découverte en 2004 au Royaume-Uni. A l'époque, deux sociétés avaient été épinglées pour avoir mis en place ce piége téléphonique. L'Independent Committee for the Supervision of Telephone Information Services avait fait fermer les entreprises. A noter que les trois escrocs Français arrêtés se faisaient passer pour une entreprise britannique, justement.

Le piège du « call back » peut prendre plusieurs formes, même si l'objectif est toujours d'amener la victime à rappeler un numéro surtaxé afin d'empocher une part du coût de la communication (l'autre étant versée à l'opérateur mobile). Par exemple, les « pirates » affichent des petites annonces dans la presse, sur Internet, dans les écoles, les facultés, etc. Ces messages proposent la location d'une chambre, d'une colocation pour étudiants, d'une offre d'emploi et invitent les intéressés à les appeler.

Les escrocs utilisent toujours le même type de numéros de téléphone, commençant par 0892 et 0899. Parfois, ils demandent un CV ou une lettre de motivation, à envoyer par fax. Seulement, le bruit du fax n'est rien d'autre qu'un répondeur qui tourne en boucle. L'imagination des escrocs semble une fois de plus sans limite et le « spam téléphonique » a visiblement de beaux jours devant lui.

« Rootkit, kernel panic, ou Tor network ». Pour le commun des mortels, cela ne veut rien dire. Mais pour un hacker, ces termes relèvent du vocabulaire courant. Et depuis le 31 juillet, tout ce que le monde informatique compte de petits génies de la sécurité est rassemblé en un seul et même lieu : Las Vegas (Nevada), Sin City (la Cité du Péché) pour les intimes.

Traditionnellement, des deux conventions qui se disputent la vedette, c'est Black Hat qui ouvre le feu du 31 juillet au 2 août, suivie du 3 au 5 août de DefCon, qui capitalise désormais sur les restes d'une réputation sulfureuse. « Entre 1993 et 1995, à DefCon, les hackers pouvaient se regarder en chiens de faïences, en se demandant qui parmi eux était une taupe infiltrée par les fédéraux. Ce n'est plus le cas aujourd'hui. Avec plusieurs milliers de participants, tout est devenu très commercial », constate Pascal Lointier, président du Clusif (Club de la sécurité de l'information français).

Présent cette année encore à Las Vegas, Pascal Lointier précise que pour eux « une manifestation comme Black Hat est une occasion unique de se tenir au courant des dernières tendances et de cultiver leurs réseaux. Cette année par exemple, j'attends beaucoup des exposés sur les virus dans les smartphones. »

A Black Hat, chaque année réserve ainsi son lot de surprises. Guillaume Lehembre, consultant sécurité au cabinet HSC (Hervé Schauer Consultants) se souvient de 2005. Une édition au cours de laquelle Michael Lynn, un ancien chercheur à ISS (Internet Security Systems), avait exposé les vulnérabilités des routeurs Cisco, failles qui, selon lui, pourraient le cas échéant mettre Internet à genoux. « Cisco avait alors fait pression sur les organisateurs de Black Hat, et les slides de la conférence avaient alors été enlevés du compte rendu de l'édition 2005. » L'année suivante, les inscriptions à Black Hat étaient en hausse de 30 %, explique Guillaume Lehembre.

Cette année, l'actualité du hacking a parfois occupé la une des gazettes. Comme la cyber-guerre qui aurait opposé l'Estonie à son voisin russe. Sans parler des problèmes récurrents comme les botnets, les réseaux de PC zombies. Et s'ils ne l'avouent pas, les participants de Black Hat et de DefCon rêvent de voir décortiquer la faille de sécurité récemment révélée sur l'iPhone, le dernier bijou d'Apple.