Du nouveau dans l’histoire multimillénaire de la criminalité?


Nelson Dumais - 19/11/2009

Dans l’univers de brique et mortier comme dans l’univers virtuel, le vol et la fraude sont de tristes réalités. Si l’humain se préoccupe de verrouiller ses portes de maison, il faut encore lui rappeler l’importance de la sécurité et de la prudence lorsqu’il utilise les TI. Pourtant, les larcins par le biais des technologies ne datent pas d’hier…

S’il y a une constance dans l’histoire de l’humanité, c’est bien le vol, cette méthode souvent violente pour se nourrir, se vêtir, s’enrichir, en dépossédant son prochain.

De mémoire d’archéologue, d’ethnologue et d’historien, on a toujours truandé autrui en menaçant, assommant, torturant, coupaillant, filoutant et pressurisant, aussi bien au Japon que chez les Égyptiens, les Romains, les Huns ou les Aztèques, aussi bien du temps du Zimbabwe, de Périclès, de la dynastie des Song, de Napoléon Bonaparte, de l’Empire austro-hongrois, que de celui d’Obama. On peut parler de pérennité, un constat qui se vérifie aujourd’hui sur Internet après des millénaires de sévices dans des cavernes, cabanes lacustres, temples, rues insalubres, campagnes isolées, banques texanes et bars glauques. L’humain est ainsi fait.

On peut toujours tuer un touriste pour ses chaussures ou sa montre, on peut dérouiller un malheureux qui vient de passer au guichet automatique, on peut braquer la caissière d’un gaz-bar, mais il est infiniment préférable et moins dangereux pour soi d’arnaquer ses frères humains. Surtout que dans toute société, il y a cette catégorie de gens que l’on qualifie de naïfs, niais, pigeons, poissons ou poires.

Ce sont eux qui vont acheter des éclisses de la vraie croix à des marchands revenant de la Terre sainte, qui vont s’offrir des morceaux du mur de Berlin par correspondance, qui vont dicter leur numéro MasterCard à un « sondeur » téléphonique tellement gentil, qui vont confier leur épargne à un philanthrope leur promettant du 30 %, qui vont acheter des baies d’açai, qui vont envoyer à tous leurs contacts une alerte antivirale de classe mondiale, qui vont fournir de l’information à « Mme Attah Marie-Ange, cadre au département de la comptabilité à Écobank – Côte D’Ivoire », pour mieux vider le compte de « feu Christian Brocher » à la hauteur de 11 500 000 $. Depuis la nuit des temps, ces gens sont qualifiés « d’indécrottables gogos ». On peut vouloir les aider, mais on peut aussi se tanner et les laisser macérer dans leurs déconfitures. Chez eux, toute tentative sérieuse d’éducation antifraude apparaît comme étant peine perdue.

D’autres sont plus méfiants, plus alertes, plus critiques, plutôt difficiles à arnaquer. Mais il est possible qu’ils le soient quand même. C’est le cas, par exemple, des journalistes, une caste professionnelle qui est censée en avoir vu de toutes les couleurs. Faites, par exemple, une recherche sur Internet et recensez le nombre d’articles expliquant que deux cellulaires interconnectés face à face peuvent faire cuire un oeuf. Vous serez édifiés.

Même moi, le vieux cynique, je me suis fait avoir. Il y a quinze ans, un anglophone est venu sonner à ma porte, en plein cœur du Plateau Mont-Royal. Il s’est présenté comme étant mon 2e voisin vers le nord, celui du 3e étage, et il a prétendu s’être embarré dehors, son porte-monnaie avec son argent étant sur sa table de cuisine. Un serrurier serait en route, mais il exigerait 25 $ avant de se mettre à l’ouvrage. Je serais donc gentil de lui prêter, à lui mon voisin soudainement sans abri, la somme nécessaire, laquelle me serait remboursée d’ici une demi-heure, aussitôt son porte-monnaie récupéré. Un anglophone isolé dans un quartier francophone ne pouvant inventer une telle histoire, me dis-je, je lui donnai sans hésiter les 25 $. Bzittt! Dong! Baisé le Nelson! Amusant, non?

Ce que mon exemple démontre, c’est qu’avec du monde le moindrement aguerri, il faut réfléchir deux fois plutôt qu’une et faire preuve d’intelligence. On ne vole ni le train postal, ni un camion de la Brinks, ni le Musée de Boston, ni la Banque centrale du Brésil, pas plus qu’on ne me vole 25 $ sur une simple impulsion. On prépare méticuleusement son coup, les mécanismes de sécurité étant complexes (sauf dans mon cas, bien sûr). En ce sens, jouer aux Arsène Lupin nécessite beaucoup de professionnalisme.

Tout cela serait facile à comprendre : d’un côté, il y aurait les bons, d’un autre les méchants, et chez les bons il y aurait les gogos qui se font plumer et les aguerris qui sont difficiles à arnaquer. C’est pourtant quand on applique ce résumé grossier à la réalité d’Internet qu’on réalise qu’il ne tient plus la route. En effet, comparons le Net avec la poste ou le téléphone. Dans ces deux derniers cas, aucune routine d’optimisation n’est nécessaire. Personne ne doit investir dans des ajouts de sécurité. Aucun utilisateur ne doit suivre de cours pour apprendre à mettre une lettre à la poste ou pour lancer une conversation téléphonique. Hormis les collectionneurs et les amateurs, personne ne s’intéresse vraiment au système postal ou au fonctionnement d’un appareil téléphonique.

Mais dans le cas du cyberespace, le point de départ est un ordinateur, une machine frileuse qui est nécessairement en réseau et qui peut se véroler de façon hautement contagieuse pour devenir un outil aux mains du crime organisé. Il faut constamment songer à la protéger. Il faut la nantir de logiciels antiviraux, d’antiespiogiciels, de pare-feu. Il faut savoir où cliquer, quand le faire et comment ne pas se faire attraper.

Or, les gens – du moins ceux qui sont normalement constitués – comme les membres de ma famille et la plupart de mes amis ne s’intéressent pas aux ordinateurs. Ils les allument, les utilisent et les referment (pas toujours), parfois avec mépris, généralement avec indifférence. Alors que vous et moi sommes sous Windows 7 avec Firefox 3.5 et NOD32, si ce n’est sous Snow Leopard avec Safari 4, eux, les gens, ils sont sous Windows XP avec IE6 et McAfee. Sauf qu’ils ne le savent pas et n’en ont rien à cirer. Tout ce qu’ils veulent, c’est aller sur MSN ou sur Facebook. Et si d’aventure leur ordi devient invivable et infréquentable, ils le confient à un « expert » qui moyennant 40 $ ou 50 $ le reformate et leur réinstalle Windows (probablement piraté). Et, croyez-moi, cela n’a rien à voir avec le fait qu’ils puissent être ou ne pas être des pigeons à plumer.

Parler à ces gens de la cybercriminalité qui est de plus en plus pointue, de mieux en mieux organisée, de plus en plus lucrative, de mieux en mieux insinuée dans ce qui les intéresse sur le Net, c’est risquer de passer pour parano, pour un adepte de la théorie du complot, pour un vieil oracle du bogue de l’An 2000 qui vient de reprendre du service, pour un adepte de la science-fiction ou un raëlien apostat. Faites le tour de mes amis, ils vous confirmeront effectivement que je suis un de ces prêcheurs lunatiques.

Les grandes fraudes qu’on y déploie (par exemple) sont du même ordre que celles qui sévissaient avant les ordis. Les malfaiteurs se sont simplement adaptés aux nouvelles réalités, ce qui, en soi, ne représente rien de nouveau; ils l’ont toujours fait. Idem pour les grandes victimes. Les institutions cybertruandées ne portent guère plus plainte de nos jours que les banques ne le faisaient du temps de Jessie James, cela pour les mêmes raisons (qui, en affaires, veut passer pour victime?).

Ce qui l’est, par contre, c’est que souvent les réussites cybercriminelles sont directement proportionnelles au nombre de PC ayant pu être infectés de telle ou telle façon. En cumulant le nombre des « gogos » avec celui des « rien-à-foutistes », les malfrats se retrouvent devant un marché en or à exploiter. Exploiter dans le sens de tondre (p. ex. vol d’identité) et asservir les gogos (p. ex. botnets), exploiter dans le sens d’utiliser les « rien-à-foutistes » pour propager subrepticement leur code malveillant (chevaux de Troie, rootkits, etc.), tout cela dans un contexte de risque infiniment moindre que tous ceux qui ont caractérisé la criminalité intelligente jusqu’ici. On est à des années-lumière du gibet pour vol de nourriture, de la pendaison pour vol de cheval ou de l’émoignonnage pour vol qualifié.

D’où les campagnes de sensibilisation comme (celle que mène présentement l’ISIQ. Mais est-ce suffisant? À force de répéter les messages particuliers à la sécurité informatique, arrivera-t-on à des résultats similaires à ceux obtenus dans le cadre de la ceinture de sécurité, de l’alcool au volant, du recyclage, des gaz à effets de serre ou du tabagisme? Autrement dit, arrivera-t-on à intéresser une masse critique de gens à s’occuper de leur ordi? Hum! Disons que c’est un sujet pour le moins fort préoccupant.

Soit dit en passant, votre webzine préféré (a ouvert ses portes à Jacques Viau, un expert en sécurité de l’ISIQ, avec qui j’ai discuté récemment – ce qui ressort, direz-vous, dans certains des propos que je viens de vous tenir.

Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.