- FRAUDE INFORMATIQUE
- FRAUDE INFORMATIQUEFraude informatiqueEn informatique, alors que les accidents sont mieux maîtrisés et les erreurs mieux contrôlées, la fraude et la malveillance constituent désormais, à l’aube du XXIe siècle, une des menaces les plus graves auxquelles est confrontée notre société. La banalisation des “autoroutes de l’information” et l’avènement des réseaux interactifs accentuent le danger.Un hold-up permanentSelon le Club de la sécurité informatique français (Clusif), les entreprises françaises ont perdu 11,2 milliards de francs en 1994 du fait d’accidents, d’erreurs ou de malveillance frappant leurs systèmes d’information (pertes en augmentation de 4 p. 100 par rapport à 1993). Les fraudes furent à l’origine de 58 p. 100 des pertes. La malveillance est donc devenue le risque majeur, et elle pourrait atteindre 70 p. 100 du total des pertes en l’an 2000, contre 37 p. 100 en 1984. En revanche, le poids des accidents (25 p. 100 du total des pertes en 1994) et des erreurs (17 p. 100) a diminué. La généralisation des systèmes informatiques associée à la compétence croissante des pirates aggrave sans cesse la situation. Parmi les risques de malveillance eux-mêmes se dessine une évolution vers le détournement d’informations. L’information se trouve répartie dans de multiples systèmes et réseaux, et la protection des systèmes d’information devient plus difficile, donc plus coûteuse. En octobre 1995, un universitaire du Michigan constate que, sur 150 entreprises américaines qui ont répondu à une étude sur la criminalité informatique, 148 ont reconnu avoir été victimes d’une fraude, d’un sabotage ou d’une intrusion; de surcroît, une soixantaine d’entre elles ont subi ce type de préjudice plus de vingt-cinq fois! Parmi les délits les plus fréquents figurent les fraudes concernant les cartes de crédit, les accès non autorisés à des fichiers confidentiels, les copies pirates de logiciels. La majeure partie des fraudes sont commises depuis l’intérieur de la société.Toute entreprise détient des informations stratégiques, stockées sur des supports électroniques, qui intéressent ses concurrents; tout système informatique et de télécommunications comporte au moins une faille, et quiconque a accès à un système d’information est en situation de la découvrir, ce qui explique la forte proportion de fraudes internes: selon une enquête réalisée en Grande-Bretagne en octobre 1994 auprès de mille entreprises, de 75 à 80 p. 100 des fraudes étaient d’origine interne, dont 15 p. 100 commises par des cadres.Évolution du risqueLe risque informatique est de plus en plus difficile à cerner, de sorte qu’une partie des préoccupations et des solutions passe de l’informatique traditionnelle vers les utilisateurs. On voit également apparaître des risques plus élevés du fait de l’importance croissante du rôle des systèmes d’information et de la dématérialisation des données. Les progiciels et les réseaux sont de plus en plus touchés. On commence à examiner des chaînes de risques interentreprises, liés par exemple à la conjonction des échanges de données, des flux tendus et de l’intégration des systèmes. Les entreprises doivent donc se battre sur plusieurs fronts: il leur faut éviter de perdre de l’argent (par exemple du fait d’un détournement de fonds assisté par ordinateur), tout comme il leur faut préserver leur image, leur savoir-faire (dans le cas d’accès à des fichiers de centres de recherche-développement) et leur patrimoine. La divulgation d’informations par l’intermédiaire de l’informatique a, en France, coûté au moins 860 millions de francs en 1994. L’ordinateur apparaît de moins en moins comme l’objet même de la délinquance informatique, et de plus en plus comme son instrument: on vole moins un ordinateur pour sa technologie que pour les informations qu’il contient. Il est donc logique de voir surgir de nouveaux acteurs que l’information intéresse en tant que telle. Ceux-ci sont à la fois privés (les concurrents) et publics (services de renseignements): pour eux, l’information technologique et économico-stratégique est devenue une priorité. Ainsi, la direction de British Airways pirata les ordinateurs de sa rivale Virgin pour se procurer la liste des passagers; cette opération se solda par la démission du P.-D.G. de British Airways, assortie d’excuses publiques et de substantiels dommages et intérêts.On n’a pas encore vu à l’œuvre sur une grande échelle des organisations de type mafieux, mais celles-ci ont prouvé qu’elles savaient s’adapter. Ainsi, lors de l’opération Margarita déclenchée par les polices française et américaine, au cours de l’été de 1994, contre les cartels colombiens de la drogue, un ingénieur informaticien fut, avec d’autres suspects, interpellé; on ne connaîtra sans doute jamais son rôle exact, car il s’est suicidé. Enfin, une action terroriste menée avec des moyens informatiques pourrait avoir des effets dévastateurs. Lorsque, en septembre 1991, un simple central d’A.T. & T. tomba en panne, 5,5 millions de communications téléphoniques furent perdues, et plus de 500 vols annulés du fait de la paralysie du contrôle aérien. En février 1995, le système de télécommunications en fibre optique de l’aéroport de Francfort-sur-le-Main fut saboté, entraînant l’arrêt du système de réservation de la Lufthansa (et du système de communications d’un hôpital voisin).Une sécurité aléatoireLe niveau de sécurité des entreprises n’est pas toujours à la hauteur. Certaines affaires ont défrayé la chronique, par exemple le piratage des ordinateurs de British Telecom révélant des informations confidentielles sur les services secrets et la famille royale, ou l’arrestation du pirate américain Kevin Mitnick, qui avait pénétré de nombreux systèmes gouvernementaux et privés. Aux États-Unis encore, Anthony Chris Zoboralski, expert en cracking , spécialité qui vise à entrer par effraction et à distance sur des ordinateurs, récupérait par ruse des numéros de cartes bancaires ou des cartes de crédit téléphoniques, ce qui lui permettait d’appeler n’importe où en faisant facturer un compte d’abonné; avec ces cartes, son objectif était d’acquérir gratuitement du matériel informatique et de communiquer, également gratuitement, avec le monde entier. Un de ses principaux exploits: avoir obtenu par des moyens détournés un numéro de téléphone utilisé par le F.B.I. pour des téléconférences; ce n’est pas moins de 1,25 million de francs de factures téléphoniques qui seront débités sur le compte de la police américaine. Dans le même registre, en France, le P.M.U. a révélé qu’une quarantaine de parieurs ont profité d’une faille du système de prise de paris par Minitel pour multiplier leurs gains: il suffisait d’appuyer sur la touche “correction” pour augmenter la mise initiale sans débourser davantage.Malgré ce contexte défavorable, il ne faut pas croire que la sécurité soit la priorité des informaticiens. Selon une enquête menée en 1992 pour le compte de l’Institut des hautes études concernant la sécurité intérieure, 70 p. 100 des informaticiens estimaient que les systèmes de sécurité constituent une incitation à franchir les barrières mises en place. Pis, 95 p. 100 affirmaient qu’aucun système informatique n’est infaillible.Les banques ne sont pas à l’abriLa sécurité d’une banque ne se mesure plus à l’épaisseur de ses coffres et n’est même plus l’affaire des techniciens informatiques, mais bien celle des responsables des télécommunications. L’émergence des “architectures” ouvertes et réactives ainsi que la course à la performance ont fragilisé ces citadelles financières. C’est pourquoi la sécurité ne doit plus être laissée entre les mains d’un technicien. L’ère de la sécurité informatique est révolue, au profit de celle de la sécurité de l’information . Il faut parler maintenant de sécurité des télécommunications, puisque l’information transmise est susceptible d’être interceptée. Pour se prémunir, outils et procédures sécuritaires abondent: chiffrement, compartimentation, antivirus, etc. Pourtant, on enregistre chaque année une cinquantaine de sinistres de plus de 10 millions de francs chacun. La technique ne suffit donc pas. Le point faible réside souvent dans l’absence de cohérence du dispositif de sécurité. Il faut savoir quels sont les objets et les applications à protéger et définir un dispositif adéquat pour contrecarrer les menaces.La malveillance interne en hausseIl est naturel que la malveillance se déplace vers des cibles immatérielles. L’impact est d’autant plus grand que les systèmes sont de plus en plus puissants et contiennent des informations stratégiques. Contre la malveillance interne, le meilleur remède est la prévention: sélection à l’embauche et dissuasion. Les attaques logiques restent celles qui ont le plus progressé (+ 7 p. 100) pendant la période 1984-1993: leur coût à l’échelle française, tous secteurs confondus, serait passé de 350 millions à plus d’un milliard de francs et, parallèlement, le coût de la fraude non physique de 700 millions à 1,63 milliard de francs (source: Clusif). Les nouvelles architectures déployées par les banques, notamment le downsizing et le client-serveur, sont vecteurs de fragilisation. La problématique de l’information ouverte, prônée dans le débat sur les autoroutes de l’information, n’arrange rien. La prolifération des bases de données et des serveurs multiplie les points d’accès aux systèmes d’information interne des entreprises.Le Service d’enquêtes sur les fraudes aux technologies de l’information (S.E.F.T.I.) estime qu’un détournement financier réalisé en utilisant une fraude informatique rapportait en moyenne à son auteur 1,5 million de francs en 1995. Le même service estime que seulement 5 p. 100 des affaires sont connues et déclarées chaque année. Dans huit cas sur dix, l’auteur de la fraude appartient à l’entreprise qui en est victime.Vulnérabilité des téléservicesDes différents téléservices, la télésauvegarde constitue celui sur lequel pèsent des menaces graves en termes de disponibilité et d’intégrité, en particulier d’attaque logique. Le facilities-management superpose les problèmes liés à l’externalisation, à la sécurité informatique et aux télécommunications. Les problèmes d’altération de l’information se posent également dans le domaine de la télémédecine et de la télégestion. La notion de confidentialité, partie intégrante de l’éthique du corps médical, peut y perdre beaucoup en se dématérialisant. Certaines de ces conséquences sont particulièrement graves, par exemple celles qui sont liées à la médecine génétique prédictive. Restent d’autres secteurs déjà sinistrés, par exemple le téléachat.La protection: une affaire de méthodeLe silence reste une règle d’or dès lors qu’il s’agit de sécurité. Une grande partie des attaques externes sont le fruit d’une indiscrétion volontaire ou involontaire venant de l’intérieur de l’entreprise. Parmi les critères définissant la sécurité, les banquiers privilégient avant tout la disponibilité de leur système d’information. En effet, quel préjudice financier pour une salle de marchés de voir s’effondrer son réseau et de ne plus pouvoir effectuer la moindre transaction! Pour un banquier, l’information doit toujours être disponible. Il n’est alors pas étonnant que la sauvegarde représentait en 1995 4 des 7 p. 100 du budget sécurité dans le budget informatique des vingt premières banques françaises. Les banques ont d’ailleurs investi les premières pour bénéficier d’un double chemin à l’information. En matière de télécommunications, certaines disposent de services satellites en prévision de la chute de leur réseau terrestre. En matière de sécurité, les établissements bancaires font, avec l’armée, figure de pionniers. Et nombreuses sont les banques qui participent aux groupes de travail de normalisation et qui jouent un rôle moteur dans la compression de données en vue du cryptage, l’élaboration des algorithmes d’identification mutuelle...Une parade consiste à assurer l’étanchéité entre le réseau interne de l’entreprise et le monde extérieur, afin de prémunir le système d’information contre toute intrusion illicite; elle fait appel à la technologie des firewalls , ou “murs coupe-feu”. Une autre parade vise à assurer un contrôle supplémentaire au niveau applicatif, afin d’authentifier les utilisateurs habilités. Différentes techniques ont été mises au point afin de pallier la faiblesse de l’authentification par mots de passe dans les environnements communicants.Un parcours juridique parfois difficileLa communauté informatique française est confrontée à une loi régissant l’usage de la cryptographie. Cette activité, qui ne captivait jusqu’ici que les espions et les amateurs d’énigmes, prend une importance capitale avec Internet et les autoroutes de la communication. Les États-Unis proposent des outils tels que P.G.P. (Pretty Good Privacy), devenu un standard dans le monde virtuel. Moins bien pourvus, les informaticiens français doivent compter avec le législateur, qui interdit ces outils par la loi du 29 décembre 1990, article 28, “adoptée après déclaration d’urgence”. Pour la protection de signatures, ou de codes de cartes de crédit, une déclaration du procédé utilisé suffit (mais celui-ci sera examiné ultérieurement, et éventuellement rejeté). Les systèmes codant des documents plus longs sont soumis à une demande d’autorisation, dont l’acceptation ou le refus, non motivé et sans appel, intervient dans un délai de douze à dix-huit mois. Cet article 28 a cependant pour avantage de permettre une évolution du régime de la cryptologie, régi par un décret-loi de 1939 relatif aux matériels de guerre.Mais, face à l’évolution rapide des technologies, les textes législatifs peuvent s’avérer inadaptés. Ainsi, l’arsenal réglementaire américain sera rapidement amélioré, et certaines failles devraient se trouver atténuées. Le Computer Fraud and Abuse Act rend illégal l’accès sans autorisation à un ordinateur contenant des données financières, par exemple sur des cartes de crédit. Mais un même niveau de protection n’est pas prévu pour les ordinateurs stockant des informations non financières. De même, la loi sur la protection des logiciels (Copyright Act) proscrit leur copie à des fins lucratives (ainsi, un étudiant du M.I.T. a pu échapper à une condamnation dans la mesure où il n’a pu être prouvé qu’il avait réalisé un quelconque gain financier).Du côté français, la police judiciaire affûte ses armes contre la fraude informatique. Le ministère de l’Intérieur a renforcé ses structures de lutte contre les fraudes informatiques et le piratage de logiciels avec la création de la Brigade centrale de répression de la criminalité informatique (B.C.R.C.I.), qui s’ajoute au S.E.F.T.I. La B.C.R.C.I. dispose d’une compétence nationale pour mener des enquêtes en matière de délinquance informatique et fournit une assistance technique aux autres services de police. Elle assure également, sur le plan international, la gestion du bureau central d’Interpol en matière de délinquance informatique. Quant au S.E.F.T.I., dont la compétence s’étend uniquement à Paris et à sa proche banlieue, outre une mission de formation, son rôle est d’effectuer des enquêtes sur les infractions visant les systèmes informatiques et les systèmes de communication. Ce renforcement des moyens de lutte a coïncidé avec le durcissement des peines encourues en France. La loi du 5 février 1994 prévoit en effet jusqu’à 1 million de francs d’amende et deux ans d’emprisonnement et désigne les entreprises comme coupables éventuelles. Pour elles, les sanctions encourues vont jusqu’à une amende de 5 millions de francs et des mesures telles que l’interdiction de participer aux marchés publics, d’émettre des chèques, voire leur dissolution.Cependant, l’adaptation de l’arsenal juridique répressif associé à des moyens techniques de contrôle de plus en plus sophistiqués ne peut seule réduire la fraude, dont l’éradication passe par une prise de conscience générale du danger et l’acceptation de moyens de sécurité aussi contraignants qu’onéreux.
Encyclopédie Universelle. 2012.