Les pirates en veulent à votre carte

Les États-Unis viennent de mettre au jour la plus vaste fraude à la carte bancaire jamais réalisée : 130 millions de comptes ont, en effet, été piratés entre fin 2006 et début 2008. À l'origine de ce cyberbraquage, Albert Gonzales, un jeune et génial crack en informatique de 28 ans, qui n'est pas un inconnu pour les autorités américaines, loin s'en faut.
Le jeune homme, fils d'immigrants cubains et féru de technologies depuis le lycée, a été arrêté une première fois en 2003 dans le New Jersey pour une affaire de piratage. Comme souvent dans ce type de dossiers, il lui avait été proposé, pour bénéficier d'une réduction de peine, d'aider le FBI à traquer ses complices, ce qu'il avait accepté. Sous le pseudonyme « CumbaJohny », il permet d'identifier 28 cyberdélinquants. Sauf que le petit génie joue double jeu et mène de front des activités criminelles. Il parvient alors à pirater 40 millions de cartes de crédit. En dépit des fortes sommes que lui rapporte le piratage, il vit dans un appartement miteux de Miami mais vise toujours plus haut. Il parvient sans mal, avec deux complices russes, à profiter de failles informatiques pour s'introduire dans les réseaux de supermarchés et d'organismes financiers pour voler les coordonnés bancaires des clients ; coordonnées ensuite envoyées sur des serveurs aux États-Unis, en Lettonie, aux Pays-Bas et en Ukraine puis revendues. Cette fraude géante coûterait 90 à 305 $ par dossier piraté, selon une étude de l'institut Forrester Research. Albert Gonzales, arrêté lundi, risque la prison à vie. Cette histoire, dont Hollywood fera sans doute un film, repose en tout cas la question de la sécurité et du vol des données bancaires ; un problème qui concerne tous les pays. En France, où les fraudes aux cartes ont augmenté en 2008 particulièrement pour les paiements sur Internet - Nicolas Sarkozy en a lui-même été victime - le gouvernement a renforcé en janvier les moyens de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLTIC). Mais sans une réponse internationale bien coordonnée, les cyberpoliciers risquent d'avoir une longueur de retard.
Du côté des banques et des entreprises, on s'organise pour mieux protéger les données des clients, avec l'aide des éditeurs de logiciels antivirus. Le secteur bancaire a mis en place des normes internationales qui devraient se renforcer pour assurer la fiabilité et la sécurité des transactions sur internet. Ainsi pour faire un achat, après le numéro de carte et les trois chiffres du cryptogramme, les internautes vont devoir préciser leur date de naissance sur certains sites d'achat en ligne. L'obligation de répondre à des questions personnelles (date de naissance, etc.) est aussi dans les tuyaux.
Enfin, en amont, chez le consommateur, il faut que celui-ci soit très vigilant avant de donner son numéro de carte et se méfie des e-mails fantaisistes qu'il peut recevoir. Si la sécurité est affaire de moyens, elle est aussi question de pédagogie.


Les fraudes à la carte bancaire augmentent
Selon le rapport annuel 2008 de l'Observatoire de la sécurité des cartes de paiement, organisme émanant de la Banque de France, les fraudes à la carte bancaire progressent en France, à 50 000 cas. « La progression des montants de fraude (320,2 millions d'euros en 2008 contre 268,5 en 2007, soit une hausse de 19,3 %) est plus importante que la croissance du montant des transactions (464,0 milliards d'euros en 2008 contre 430,7 en 2007, soit une hausse de 7,7 %). Le montant moyen d'une transaction frauduleuse est stable à 131 euros », expliquait l'Observatoire le 9 juillet dernier. La part la plus importante revient aux paiements à distance (Internet mais aussi arnaques par courrier et téléphone). Le taux de fraude s'élève à 0,252 % pour un montant de 67,2 millions d'euros. « Les paiements à distance, qui représentent 6 % de la valeur des transactions nationales, comptent désormais pour 51 % du montant de la fraude Cette hausse de la fraude est toutefois à relativiser compte tenu de la croissance très dynamique du volume et de la valeur des paiements à distance », détaille l'Observatoire, qui constate que l'origine de fraude la plus importante est désormais celle liée à l'usurpation de numéros de cartes utilisés pour les paiements frauduleux à distance.



« Une police internationale pour Internet est urgente »

Jean-Philippe Bichard est expert en cybercriminalité, porte-parole de l'éditeur de logiciels Kaspersky Lab.

Une fraude massive comme celle survenue aux États-Unis est-elle possible en France ?
Cette affaire soulève plusieurs aspects de la cybercriminalité. Il faut tout d'abord dire qu'en France nous sommes davantage protégés du piratage car nos cartes bancaires sont dotées d'une puce électronique, ce qui n'est pas le cas aux États-Unis où les cartes ne fonctionnent qu'avec une piste magnétique. Par ailleurs le paiement par carte de crédit est plus développé que chez nous. Ceci dit, les techniques employées pendant plusieurs années par ce jeune hacker - qui avait été recruté par le FBI avant de retourner sa veste - pour voler des numéros sont bien sûr reproductibles chez nous. La constitution de réseaux d'ordinateurs « zombies », c'est-à-dire la prise de contrôle d'ordinateurs d'une entreprise ou d'un particulier à leur insu pour mener des activités de piratage sont possibles. Surtout cette affaire illustre le caractère international de ces fraudes ; le hacker américain a bénéficié de complicité à l'étranger. La cybercriminalité devient mondiale et tentaculaire comme une sorte de mafia.

Les États et les entreprises sont-ils bien préparés pour faire face à cette cybercriminalité mondiale ?
Il est clair qu'il est urgent de créer un Interpol pour internet, une police internationale spécialisée. Il existe bien une agence européenne dans ce sens mais qui n'a pas fait ses preuves. La réponse ne peut en tous cas pas n'être que franco-française. Par ailleurs, il faut que les politiques se saisissent réellement de ces problèmes. Il y a près de 20 millions d'internautes en France, notamment les jeunes générations, et on constate un vrai décalage entre cette réalité et la sensibilisation des politiques aux questions technologiques.

Pour les particuliers, y a-t-il des conseils de prudence à observer ?
Il ne faut pas être naïfs et ne pas oublier qu'internet n'est que le miroir de la société. À côté des formidables possibilités d'internet, il faut avoir à l'esprit qu'il y a des escrocs, des commerçants malhonnêtes, etc. Il faut donc savoir se méfier. Ensuite, on peut s'équiper de logiciels de protection comme des antivirus, des outils antispam pour éviter de recevoir des e-mails indésirables dans sa boîte e-mail ou des outils antiphishing qui détectent les faux sites bancaires conçus par les pirates pour tromper les internautes et leur voler leurs coordonnées bancaires.

(Photo carte de crédit : Channel R)

0 commentaires: