Arnaques sur le Net: que fait la cyberpolice? | Mars 2010


On m'a volé mon log, on m'a volé mon blog, on m'a volé ma vie!

Quel point commun peut-il exister entre Sarah Palin, candidate à la vice-présidence des Etats Unis, Roland Nef, chef déchu de l’Armée suisse et Macha, une élève du Secondaire dans la canton de Vaud? Ils ont tous les trois été sérieusement inquiétés dans une affaire de piraterie sur Internet. Décryptage.

Vicissitudes d’une candidate à la vice-présidence des USA

Il y a plus d’une année éclatait comme on s’en souvient une série d’affaires liées à Sarah Palin, star malgré elle d’un buzz planétaire. Membre du Parti républicain, cette femme politique américaine originaire d’Alaska était totalement inconnue du public avant de se voir plébiscitée pour devenir la colistière du candidat John McCain lors des dernières élections américaines. Devenue dès lors un phénomène médiatique, Sarah Palin n’a cessé de susciter l’intérêt des journalistes, mais également de virulents détracteurs: elle a en effet vu son compte mail piraté en pleine campagne présidentielle. Une affaire qui a fait apparaître un grave problème de sécurité puisque, de l’aveu même de la Républicaine, elle utilisait sa messagerie
pour traiter conjointement et sans distinction des affaires privées et professionnelles.


Bien qu’aucune révélation concrète n’ait été faite à l’époque par la principale concernée quant aux dommages concrets liés à cette cyberattaque, on imagine sans difficulté le potentiel de nuisance crée par ce cambriolage de données stratégiques. Les pirates disposaient non seulement d’informations confidentielles pour décrédibiliser la politicienne en tant qu’exemple pour la nation – ses difficultés à élever son enfant trisomique, ses soucis avec sa jeune fille de 15 ans enceinte – mais aussi d’informations cruciales pour hypothéquer les chances du duo McCain/Palin de remporter la course à l’investiture américaine.


Fait rarissime pour un cas de piraterie d’une telle ampleur, le cyberpirate en question s’est lui-même présenté aux autorités fédérales pour être arrêté. Agé de 20 ans, David C. Kernell semble en effet avoir tardivement pris conscience de la portée de ses actes. Un fait qui devrait apparemment jouer en sa faveur, au moment où il se trouve inculpé par la Cour Fédérale du Tennessee pour «avoir intentionnellement accédé sans autorisation à la messagerie électronique de la gouverneure de l'Alaska». Le jeune homme serait passible de 5 ans d’emprisonnement et d'une amende pouvant s’élever à 250.000 dollars. Le fait que ce pirate amateur soit le fils d’un député démocrate n’arrange en rien son cas. Tout porterait à croire qu’il ait intentionnellement agi afin de livrer des informations à son père et, par extension, au camp démocrate. Il demeure en effet que les données confidentielles de Sarah Palin auraient sans conteste pu servir les intérêts du camp adverse: jamais, dans l’histoire des élections présidentielles américaines, un candidat n’avait su mieux que Barack Obama utiliser les informations et gérer sa communication sur le Net.

 

Un Nef à vif!

Contrairement à ce que l’on pourrait penser, les cyberattaques ne sont pas toujours lancées par des professionnels. Au niveau suisse, on se rappelle en effet de l’affaire Roland Nef, chef déchu de l’Armée suisse, démis de ses fonctions pour avoir été impliqué dans une procédure pénale au moment de sa nomination dans ses nouvelles fonctions à la tête de l’armée. Selon un procès-verbal émanant de la police municipale zurichoise et remontant au 27 septembre 2006, il était apparu que Roland Nef avait commis un délit en usurpant volontairement l’identité de son ancienne compagne. Suite à des conflits relationnels et pour des questions apparemment affectives, Roland Nef aurait en effet répondu par courriel à des petites annonces à caractère sexuel en utilisant, sans son consentement, les nom et prénom de son ancienne concubine. Divulguant nombre d’informations privées sur son ex – adresse privée, numéro de téléphone fixe, numéro de portable – Roland Nef aurait également utilisé une photo de son amie afin de se faire passer pour elle. Ces actions vénales ont eu des conséquences dérangeantes pour la jeune femme: réception de nombreux SMS coquins, appels téléphoniques la harcelant, visites à son domicile d'hommes inconnus.

Cas d’école

Le cas de Macha (nom fictif), jeune élève de 8e année d’un Etablissement scolaire de la Riviera vaudoise, rappelle quant à lui que la cybercriminalité peut non seulement avoir une portée très locale, mais également qu’elle n’est pas toujours l’apanage des adultes, ni toujours explicable par des mobiles purement affectifs. Voici, résumé en trois phases, l’enfer vécu depuis quelques semaines  par cette e-victime, qui a fait les frais d’une cyberattaque fort simple et quasi banale.


usurpation d'identité, cybercriminalité, salle informatique école1) Lors d’un cours en salle informatique, un élève est tombé sur un poste de travail mal éteint ainsi que sur une boîte mail mal quittée, en l’occurrence celle d’une élève nommée Célia (nom fictif). Ni une ni deux, l’élève se transforme en petit plaisantin et choisit d’envoyer un message à l’un des destinataires figurant dans la liste des contacts de Célia, en l’occurrence Macha. Se faisant donc passer pour Célia et utilisant clairement le rapport de confiance existant entre les deux amies, l’élève mal intentionné envoie à Macha un message dans lequel il lui demande sur un ton très naturel une petite faveur apparemment sans conséquences : «Coucou, j’ai fait un blog mais je ne sais pas quel mot de passe choisir. Qu’est-ce que tu me conseilles? Bisous, Célia». Le petit conseil demandé à Macha va, sans qu’elle le sache, lancer la machine infernale. En effet, Macha donne suite quelques heures après en répondant très simplement : «Coucou Célia, c’est facile, tu mets qqch. dont tu te rappelles facilement. Moi j’ai simplement donné le nom de ma chienne parce que je l’adore et qu’elle est trop mignonne. Bisous, Macha.»

2) Utilisant la naïveté de Macha, le jeune farceur est parvenu à la conduire à lui communiquer la question de sécurité permettant de s’identifier sur sa page perso. Quelques secondes plus tard, le malfrat précoce avait pénétré dans le blog social de Macha… Non content d’avoir pris possession du blog, il décide de changer le mot de passe de Macha, la privant ainsi de l’univers qu’elle avait elle-même architecturé avec passion et patience.


3) Le cybercriminel en herbe choisit alors finalement de pousser le vice jusqu’au bout en recourant, pour la seconde fois, à l’usurpation d’identité: il ose effet publier du contenu sur le blog de la jeune fille, en ayant bien évidemment la courtoisie d’envoyer des messages désobligeants et vulgaires aux amies de la vraie Macha tout en continuant à se faire passer pour elle. Le nombre des e-victimes s’allonge… Dans le même temps, l’élève détracteur agit librement et en toute impunité, à distance, sans jamais être inquiété. L’identité du pirate n’a jamais pu être établie formellement – tous les indices IP renvoyant uniquement à la salle d’informatique, sans plus de détails.

 

De l’abordage au sabordage

Les trois exemples présentés suffisent à rappeler une évidence parfois oubliée: les attaques Internet ne connaissent aucune frontière, qu’elle soit géographique ou morale. Quelles que soient les motivations des cyberpirates, les actions de ces corsaires des temps modernes aboutissent le plus souvent à trois formes de dommage: premièrement, une prise d’assaut plus ou moins grave de l’ordinateur et des informations d’un utilisateur ; deuxièmement, un désagrément moral et symbolique pour leurs e-victimes pouvant parfois même être d’ordre physique ; finalement, la nécessité, pour chaque e-victime, d’abandonner à contrecœur des données infiltrées et d’accepter impuissamment à leur disparition.


Les affaires Sarah Palin et Roland Nef, mais aussi le cas plus anodin de Macha, mettent en lumière le problème de l’usurpation d’identité, un phénomène bien connu aux USA et qui commence progressivement à se généraliser en Europe également. Force est de constater que, bien souvent, utilisateurs de messagerie et bloggeurs investissent une énergie considérable à gérer leurs informations sans prendre pourtant la peine de protéger ces informations. C’est un peu comme si la tendance était d’accumuler dans l’espace de stockage de sa boite mail (en constante augmentation d’ailleurs) ou dans les pages de son blog les richesses de toute sa vie mais derrière une simple petite porte en bois, ouvrable au moyen d’une vielle clé de cave. Peu de personnes réalisent réellement qu’il ne suffit que d’un point d’accès, d’une toute petite faille de sécurité comme un mot de passe trop évident ou pas assez élaboré, pour causer une avalanche de soucis à l’utilisateur. Macha ne l’a compris que trop tard, affirmant: «On m’a volé mon log, on m’a volé mon blog, on m’a volé ma vie!»

 

Webographie :

Roland Nef :
Usurpation d'identité sur fond de petites annonces de sexe.  in www.20mn.ch

Sarah Palin : 
Ce qui m’a le plus blessée : le piratage de ma boîte e-mail. in www.silicon.fr
Un étudiant inculpé pour le piratage de la boîte mail de Sarah Palin in www.france24.com
Inculpé pour piratage informatique contre Palin in www.cyberpresse.ca

Cas d’école :
Exemple pratique: usurpation d'identité in www.educaguides.ch

Usurpation d’identité :
Un outil nouveau contre l’usurpation d’identité sur internet : le label « IDéNum », l’identité numérique multi-services in www.gautrais.com
Quand les victimes deviennent des coupables in www.lepoint.fr
De l’usurpation d’identité sur Internet in http://decryptages.com
L’usurpation d’identité sur internet : délit ou pas ? in www.legalbiznext.com

Source images :

Image 1 : http://thepirata.com/pirate-computer-mouse/
Image 2 : http://www.institutionsevigne.org


dossier préparé par:


Rosa Garrido, Italo Goyzueta, Gabriel Hussy, Manojlo Jelic, Patricia Jordan