Cyber-criminels: un changement de stratégie se profile

Une vague de fond pourrait conduire les cyber-criminels vers de nouvelles cibles: les bases de données des boutiques en ligne

Une nouvelle tactique est en train d’émerger chez les pirates: ils commencent à viser les bases de données et programmes qui alimentent les boutiques en ligne.

Ces boutiques s’appuient sur des programmes qui impliquent logiquement une interaction avec l’internaute. Pour saisir une commande, une quantité d’achat, une adresse de livraison, ou toute autre information, l’internaute doit passer par des champs de saisie. Ces derniers seraient en train de devenir des portes ouvertes pour diverses tentatives d’intrusion. Dans ce cas de figure, les cyber-criminels peuvent automatiser les tests d’intrusion via des champs, tenter de découvrir ce qui leur permet de pénétrer la base de données du site, et d’étendre cette procédure à d’autres sites d’e-commerce. Une fois qu’ils ont pénétré à l’intérieur d’un système, ils peuvent avoir accès parfois à une énorme base de données, laquelle peut être exploitée non pas tant pour détourner des fonds, car la plupart du temps les données bancaires confidentielles sont stockées dans d’autres bases mieux protégées, mais plutôt pour récupérer des adresses e-mail afin de lancer des procédures de ‘phishing’ par vagues. À la différence du ‘spam’ – où l’auteur se contente généralement d’être le relais d’une entreprise mafieuse – le pirate qui s’attaque aux bases de données des sites d’e-commerce renoue avec l’esprit des premiers pirates informatiques. C’est là un nouveau danger, car le pirate est partagé entre une volonté d’en tirer profit et la motivation ludique, pour le ‘fun’. Mieux vaut donc prendre conscience de la menace. Les bases de données figurent dans le top 20 des programmes vulnérables visés par les pirates, au côté des navigateurs Internet, des logiciels antivirus, et même des baladeurs numériques. Cette menace rappelle également que tout ce qui requiert une interaction peut être exploité par des gens mal intentionnés. Mais aussi, à l’inverse, que les pirates recherchent tout ce qui leur permettra de pénétrer le système de l’internaute en évitant toute interaction. C’est pourquoi l’intrusion dans des bases de données d’e-commerce constitue une nouvelle tactique inquiétante, qui pourrait rapidement pourrir un peu plus le média Internet. D’autant que certains experts n’hésitent pas à affirmer qu’il peut être très difficile de se défendre contre ce type d’attaques. Jusqu’à présent, la principale menace des sites de boutiques en ligne portait sur l’usurpation d’identité sous toutes ses formes, du vol de carte bancaire au ‘phishing’, dont le but est de passer une commande et de se faire livrer un produit en faisant payer la victime dont les coordonnées ont été dérobées. L’attention des sites d’e-commerce s’est donc focalisée sur cette problématique se sécurisation des transactions. En s’attaquant aux bases de données, les pirates cherchent à contourner les systèmes de protection en place, et surtout à augmenter leur volume d’usurpation d’identités, qu’ils pourront alors reporter sur leurs outils de ‘cyber-crime’.