Cybercriminalité

Hacker, cracker, script-kiddy

d'Lëtzebuerger Land du 10.04.2008

La croissance des réseaux d’information et de communication à l’échelle internationale s’est corrélativement accompagnée d’une aggravation des risques et des menaces associées. Historiquement, Internet et ses multiples composants informatiques, n’ont pas été développés, dès le départ, de manière sécurisée. Les supports logiciels et matériels étaient et sont restés empreints de nombreuses failles de sécurité, qui peuvent présenter en cas d’exploitation un danger de pérennité pour ces moyens de communication et d’information. Très tôt, la notion de risque « numérique » fut liée à l’incident de sécurité pouvant atteindre tout système informatique. 1988 constitue le point de départ d’une prise de conscience internationale lorsque Robert Morris « lâche » le premier ver sur Internet (logiciel très similaire à un virus, qui cependant et contrairement au virus, n‘a ni besoin de l‘intervention humaine, ni d‘un programme hôte pour infecter une machine). À l’époque, environ 6 000 machines interconnectées sont infectées. L’incident du « ver Morris » fut le déclencheur de la perception des risques numériques de sécurité présents au cœur de la société de l’information, et le point de départ de la mise en place des structures de réponse sur incidents en charge de recenser et de traiter ces derniers (Computer Emergency [&] Response Team – CERT). 

Depuis, avec l’« explosion » d’Internet et le développement du « tout numérique », les relevés d’incidents se sont constamment multipliés de manière exponentielle. Plusieurs indicateurs permettent de rendre compte de cette activité et d’en dresser le bilan, souvent en terme d’impacts financiers. Ainsi, dans sa dernière étude, le Consumer Reports National Research Center (cabinet de recherche indépendant américain) présente le coût associé au cybercrime à 7,1 milliards de dollars aux États-Unis. Pour sa part, la quatrième étude e-crime watch survey du CERT-CC, rendue récemment et portant sur un échantillon de 671 répondants aux États-Unis, estime globalement que les pertes associées à des actes de criminalité informatique ont tendance à augmenter, et que les menaces les plus significatives sont généralement externes à l’entité concernée. De nombreuses autres études informatives sont aussi disponibles, citons notamment le Panorama de la cybercriminalité édité chaque année par le Club de la Sécurité de l’Information Français (www.clusif.fr)

Le phénomène de la cyberdélinquance apparaît ainsi socialement construit, via notamment la médiatisation de cet état statistique. Mais, au-delà des attaques techniques connues, c’est désormais surtout l’être humain, à l’origine des attaques, qui est devenu le véritable danger sur les réseaux informatiques. Le « hors-la-loi » numérique ou encore le « pirate informatique » constitue effectivement l’élément principal déclencheur du risque numérique, mais ce dernier reste cependant difficilement « palpable » en terme de connaissance. En effet, l’image de cet agent menaçant n’est pas actuellement véritablement maîtrisée par l’opinion publique, notamment par absence de mise en relation directe ou encore par ignorance de son contexte social. Ainsi le citoyen, ne peut finalement que se représenter le « hors-la-loi » numérique, ou à l’inverse, tout simplement ignorer cet acteur « dangereux ». Il est vrai que ces protagonistes d’attaques informatiques demeurent véritablement à un niveau d’accès et de compréhension très opaque, justifiant le terme qui caractérise leur monde social, à savoir l’« underground » (mouvement clandestin). 

Afin de le rendre moins difficilement appréhendable socialement, nous pouvons distinguer et détailler deux mondes sociaux qui participent à la représentation de l’objet social « pirate informatique » : les experts de la sécurité de l’information, et les médias (principal vecteur d’information quant à la cyberdélinquance). Corrélativement, il est aussi important de tenir compte du milieu « underground », c’est-à-dire de l’objet même de la représentation sociale (en se plaçant du point de vue de l’acteur). Nous nommerons ces trois mondes sociaux : « les mondes de la cyberdélinquance », comme spécifiquement attachés à la construction et à la diffusion des significations sociales relatives au pirate informatique. 

Le premier monde de la cyberdélinquance repose sur le domaine de l’expertise, et principalement sur le monde de la sécurité de l’information. Ce dernier est composé principalement des professionnels spécialisés sur les différents référentiels de la sécurité de l’information, qu’ils développent et qu’ils reconnaissent ensuite comme solution requise pour pallier notamment aux risques de sécurité, en développant des offres de produits et de services adaptés. Pour ce faire, les experts sécurité sont à l’origine de nombreuses bases de connaissances de menaces ciblées permettant, par exemple, de prendre conscience des profils des attaquants. Ainsi, une analyse des référentiels de sécurité des systèmes d’information et de la communication permet de faire une synthèse homogène de l‘ensemble des risques de sécurité qu’il semble important de connaître et de comprendre pour l‘utilisateur des technologies de l’information et de la communication (TIC). Ces risques sont le plus généralement classés à l‘aide des différentes catégories de menaces, ces dernières constituant l‘origine primaire du risque. Les principales catégories de risques de sécurité, définies à l’aide des menaces, sont globalement les suivantes : phénomène naturel ou environnemental, défaillance technique, acteur humain non-malveillant, et enfin acteur humain malveillant. Au cœur du risque de sécurité, les experts estiment que la menace, de type acteur humain malveillant, constitue certainement l‘élément le plus dif­ficile à cerner, surtout du point de vue de son identification sociale et de son niveau de dangerosité. Pour en faciliter l’approche compréhensive, la structure Cases (Cyberworld Awareness [&] Security Enhancement Structure – www.cases.public.lu), portail national luxembourgeois de la sécurité de l’information, a notamment structuré l’approche des trois profils catégorisés des cyberdélinquants, en rédigeant une fiche didactique complète de l’objet social « pirate informatique ». Cette classification (hacker, cracker, script-kiddy) est aussi largement développée et utilisée comme référence au sein du monde professionnel des experts de la sécurité de l’information.

Le deuxième monde de la cyberdélinquance correspond aux représentations médiatiques du pirate informatique qui sont nombreuses et qui peuvent être traitées via différents médias comme le cinéma, la presse écrite, la télévision, ou encore Inter­net. L’effet de cadrage des médias conduit à la construction d’un univers mental de représentations qui peut induire une image plus ou moins positive et une acceptabilité sociale plus ou moins étendue d‘une activité donnée. Les médias sont pour le grand public, quasiment le seul outil permettant d’obtenir des informations « accessibles et compréhensibles » sur le phénomène de la cyberdélinquance. Les discours médiatiques sur ce sujet observent deux grandes tendances. Tout d’abord la volonté d’informer et d’instruire au sujet de ce phénomène. Les médias traitent, dans un premier temps l’information dans le but d’éveiller les consciences face à une menace afin de susciter chez les utilisateurs la nécessité de se doter de systèmes d’information sécurisés. La plus grande médiatisation accordée à cette question s’attache à montrer le caractère illégal des activités cybercriminelles. Tout proche du phénomène « cyberculture », la deuxième grande tendance dans les discours médiatiques est l’approfondissement de la connaissance sur le sujet à travers une réflexion sur le profil type du « hacker », et de sa philosophie, ainsi que de la culture « underground ». Les médias ont tenté de déterminer la différence entre les « hackers » et les « crackers ». L’image des « hackers » se voit souvent mise en valeur : on les définit comme des passionnés qui aiment les défis et maîtrisent à la perfection les moindres détails des systèmes d’information. Un danger réside dans le besoin de convaincre qui peut, dans ce cadre, aussi occulter le besoin de véracité, car les médias apportent souvent l’image du « héros », la recherche du challenge, le génie, vis à vis de faits qui font appel à des événements qualifiés légalement de gravité souvent extrême. À l’inverse, de récentes communications font aussi le lit du « marketing de la peur » en présentant la cybercriminalité comme le « fléau du siècle », ce qui semble très dommageable pour garantir la perception juste et la visibilité objective de l’économie numérique en développement. De tels clivages peuvent entraîner la difficulté de représentations par l’utilisateur des TIC, voire l’erreur de représentation « citoyenne ». En effet, un amalgame dangereux entre des faits illégaux et des acteurs sociaux exclus de toute responsabilité, devient alors possible au sein des représentations sociales.

Enfin, le troisième monde de la cyberdélinquance repose sur le monde « underground », qui regroupe aussi bien des pirates informatiques que le monde du « hacking » (opposant respectivement le concept de « black hat » à celui de « white hat »). Ce monde est celui qui est le plus difficile à percevoir, en effet sa dénomination « underground » détermine toute l’opacité de ce milieu. Nous pouvons le qualifier comme la somme de tout individu se revendiquant de ce milieu. Il se situe hors de la vision du grand public dans le but avoué de conserver son « identité culturelle » héritée des origines, et d’autre part par des valeurs véhiculées souvent considérées comme n’étant pas politiquement correctes, voire illégales. Cependant, cette communauté se mobilise notamment pour combattre l‘image négative qui tend à s’instaurer, la concernant, et souvent au niveau médiatique. L’idée étant de présenter le « hacker » comme étant réellement à l’inverse d’un « vandale ». La volonté de faire connaître et reconnaître ses talents est un élément constitutif de la culture du hacking. La recherche d’un challenge informatique, le hacking, nécessite la reconnaissance des pairs. Pour ce faire, les lieux de meeting dédié à cette culture du « hack » demeurent des espaces de connaissance et de reconnaissances des différentes parties prenantes. La conférence Black Hats (www.blackhat.com), par exemple, offre un dispositif de visibilité et de confrontation, où même les autorités légales de lutte contre la fraude informatique admettent les performances exposées. Finalement, ce monde se présente comme un état d‘esprit, celui du hack véritablement opposé au cybercrime. État d’esprit qui rendrait possible la distinction entre les hackers et de « véritables cybercriminels ». Pour ce monde underground, les motivations de ces différentes classes sont diverses : la recherche d’identité, l’éthique, des codes, des valeurs, une culture singulière proche d’un idéal libertaire, un fort ego, le besoin de reconnaissance, la soif de progresser et la nécessaire existence de moyens de regroupement. Il ressort que la lutte pour la diffusion d’une image positive de leur action et de leur philosophie est un enjeu important pour ce monde, qui refuse toute labellisation comme criminel. Leur lutte ne semble pas vaine, car on retrouve plutôt bien la dichotomie souhaitée « hackers / crackers » dans divers écrits journalistiques ou grand public, mais aussi au sein du monde des experts de la sécurité de l’information. Mais, au sein de l’underground, cela n’occulte pas la réalité des « hors-la-loi » du numérique qui peuvent entraîner de graves impacts de nature diverse. D’autre part, malgré toute bonne volonté affichée, en rapport à toute attaque informatique, la loi est claire : ce type d’acte demeure dans tous les cas répréhensible. À ce titre, les études de type criminologique des acteurs de la cyberdélinquance montrent, plus que jamais, toute leur importance.

Face au phénomène de la cyberdélinquance socialement construit, via notamment la forte médiatisation de son état statistique, l’objet social « pirate informatique » semble donc, pour sa part, demeurer en construction. En effet, les différences d’interprétation et de significations, détaillées via les différents mondes identifiés de la cyberdélinquance, formalisent spécifiquement cette vision du phénomène. Chacun apporte des caractéristiques sociales aux agents menaçants (des spécifications), permettant de déterminer une palette de choix des images sociales du pirate informatique. Cela est un résultat exploitable, notamment par le citoyen profane. Par exemple, la catégorisation, prônée par le monde des experts sécurité, permet surtout de bien comprendre les différents actes malveillants possibles pouvant atteindre tout utilisateur des TIC. L’explication des motivations permet aussi de qualifier l’importance et la dangerosité de ces actes potentiels, mais surtout les différents « claviers » de la délinquance sur lesquels peuvent jouer les pirates informatiques. Les différentes catégorisations proposées par le monde « underground » ne sont pas, pour leur part, réellement précises, et rarement reliées à des qualifications de délinquance, de toute manière en confrontation généralement avec les autres.

Finalement, les différents mondes qualifient chacun ainsi une catégorisation de l’objet social plus ou moins précise, à tout le moins des significations spécifiques. Il en retourne la génération possible de la construction discursive de différents personnages pour le même objet social. Ces mondes attribuent en fait un registre de spécifications diverses (que l’on peut nommer des fonctions) à l’objet en question. Chaque monde étudié participe ainsi à cette construction selon des codes, cultures, besoins, histoires qui lui sont propres. Les images du pirate informatique créées sont alors délimitées selon les significations associées et le contexte dans lequel elles sont générées. Le pirate informatique est donc véritablement un objet social en construction.

Au niveau sociétal, pour l’utilisateur des TIC, il sera ainsi difficile d’objectiver une image du pirate informatique. Afin de qualifier plus finement les acteurs malveillants, il semblerait nécessaire de prendre en compte les différents mondes à l’origine de significations les concernant, tout en tentant de caractériser les frontières marquées, et les passerelles possibles entre ces mondes. L’usage de bonnes pratiques de partage de ces significations (tenant compte des rôles de chacun au sein des mondes de la cyberdélinquance dans la construction sociale), existe sous la forme de ponts de significations « ouverts » entre les mondes. Pour exemples de bonnes pratiques « inter significations » et « interculturelles » : le salon « hack.lu » (www.hack.lu). Ce salon de hack réunit à la fois des experts sécurité, le monde underground, des institutionnels et des journalistes, traduisant une réelle lecture possible des significations entre les champs. À ce niveau de partage, la représentation du pirate informatique se construit alors via la corrélation des significations des mondes associés. 

Ainsi, à juste titre, le phénomène de la cyberdélinquance ne doit pas conduire à dresser uniquement un tableau noir du numérique, car ce formidable outil de développement et d’innovation, supporte indéniablement l’économie actuelle. Le citoyen ne peut que profiter de ce formidable développement, des produits et services offerts, mais il doit aussi garder pour principes : la vigilance, la connaissance, et la confiance relative. La peur n’est pas de mise sur Internet, la règle doit être la confiance numérique, le contrôle doit rester l’exception et viser à combattre la délinquance numérique (à sa juste valeur) ; enfin les moyens disponibles, quant à eux, reposent surtout sur une utilisation raisonnée et vigilante de tout utilisateur, notamment en usant de principes de sécurité adaptés.

Jean-Philippe Humbert (jean-philippe.humbert@olas.etat.lu) est responsable de l’accréditation des Prestataires de Service de Certification (PSC) à l’Office Luxembourgeois d’Accréditation et de Surveillance (Olas, auprès du ministère de l’Économie et du Commerce extérieur). Docteur en Sciences de l’Information et de la Communication, il est aussi chargé de cours à l’Université du Luxembourg et à l‘Université Paul Verlaine – Metz. Après plusieurs années de lutte contre la criminalité informatique, puis de recherche et de participation au niveau associatif, en matière de sécurité des systèmes d’information, l’auteur se consacre désormais au développement du champ de la confiance numérique.

Jean-Philippe Humbert
© 2020 d’Lëtzebuerger Land