Février 2016 : un hôpital de Los Angeles est victime d'un ransomware ou «rançongiciel» - un logiciel malveillant qui chiffre les données, les rendant inaccessibles à l'utilisateur - et se voit réclamer la somme exorbitante de 3,4 millions de dollars (3,1 million d'euros). Il paiera finalement 17 000 dollars (15 800 euros) mais ne récupérera pas ses données… Juin 2016 : le Comité national démocrate (DNC) américain révèle que son réseau a été «visité» par deux groupes de pirates informatiques, que les autorités américaines lient aux services de renseignement russes. Septembre 2016 : l'hébergeur français OVH est victime d'une attaque par déni de service - c'est-à-dire par saturation sous un afflux de connexions - qui «enrôle» des caméras de surveillance à l'insu de leurs propriétaires. En octobre, c'est l'entreprise américaine Dyn, un fournisseur de service DNS (Domain Name System, le système de noms de domaine sur Internet) qui est victime d'une attaque similaire, avec pour conséquence un accès très perturbé à plusieurs grands sites web (AirBnB, Amazon, Twitter, etc.).

Encore ne s'agit-il que d'une poignée d'exemples récents parmi (beaucoup) d'autres : ces dernières années, les cyberattaques, parfois spectaculaires, se sont multipliées. «Dès lors qu'on est connecté, il y a un risque», résume Nicolas Arpagian, directeur de la stratégie d'Orange cyberdéfense, directeur scientifique à l'Institut national des hautes études de la sécurité et de la justice et auteur de la Cybersécurité (PUF, «Que sais-je ?», 2015). Les attaques, ciblées ou non, visent des structures étatiques, des entreprises ou des particuliers. L'an dernier, en France, l'Agence nationale de sécurité des systèmes d'information (Anssi), qui supervise la sécurité des réseaux de l'Etat et celle des entreprises stratégiques, a reçu plus de 4 000 signalements, soit 50 % de plus qu'en 2014 : «défigurations» de sites web (61 % des signalements), intrusions dans les réseaux, attaques par déni de service, courriels malveillants, virus informatiques… La vingtaine d'«attaques majeures» observée par l'agence a visé «avant tout des cibles privées», expliquait lors de la remise du rapport le directeur de l'Anssi, Guillaume Poupard (lire son interview page IV).

Si les entreprises peuvent être victimes d'espionnage économique, les particuliers, eux, sont surtout exposés aux risques d'escroquerie, de vol de données ou d'usurpation d'identité. Mais pas seulement : «Dans une chaîne économique, le plus petit est le plus exposé, rappelle Nicolas Arpagian. Les grandes entreprises mettent en place de la sécurité, mais ce n'est pas toujours le cas des sous-traitants, et un individu peut être ciblé pour servir de "maillon faible".» L'extorsion numérique, opportuniste et particulièrement rentable, s'attaque, elle, à tous les acteurs, du ministère à l'internaute lambda. Les attaques par ransomware sont d'ailleurs une préoccupation majeure des autorités - Europol, notamment, a mis en place un portail dédié, Nomoreransom.org. L'entreprise américaine Symantec a repéré, en 2015, plus de 390 000 attaques par rançongiciel en France, soit 2,6 fois plus que l'année précédente. Les PME sont particulièrement touchées par le phénomène, qui s'est étendu aux smartphones.

«Il y a une industrialisation de la cybercriminalité, dans une relative impunité judiciaire», souligne Arpagian. En témoigne aussi un processus de consumérisation, avec le développement du Crime as a Service (le «crime en tant que service»). Autrement dit, la professionnalisation d'une offre de services illégaux - de l'envoi de virus informatique à l'attaque par réseau de «machines zombies» - dont les clients eux-mêmes «ne sont pas forcément liés aux cybermafias», et qui fonctionne selon une logique commerciale : abonnements pour bénéficier de «prestations» moins chères, réduction en cas de recommandation, mais aussi possibilité de notation...

Autre tendance amenée à s'affirmer : les cyberattaques visant des objets connectés. Il est vrai que ces derniers, de la caméra de surveillance au réfrigérateur, ne sont jamais que «des ordinateurs connectés dans un format spécifique», rappelle Yves Verhoeven, sous-directeur aux relations extérieures de l'Anssi. Susceptibles, donc, d'être piratés et «enrôlés», comme dans le cas des attaques qui ont touché OVH ou Dyn. Mais là aussi, les risques sont multiples : dans le pire des cas, souligne Verhoeven, «on peut imaginer une mise en péril» du propriétaire. Ainsi un expert en cybersécurité a-t-il, par exemple, averti en avril l'entreprise pharmaceutique Johnson & Johnson d'un risque de piratage - donc de prise de contrôle - de l'un de ses modèles de pompe à insuline... Or, si la cybersécurité est de plus en plus prise en compte dans les secteurs très réglementés, comme l'automobile (Libération du 30 septembre) ou les produits de santé, ce n'est pas le cas partout. «En dehors de ceux soumis à une réglementation, il n'y a pratiquement jamais d'objets connectés évalués en termes de sécurité, sauf lorsque les constructeurs veulent les faire certifier, indique le responsable de l'Anssi. Dans les mois et les années à venir, tous les objets connectés subiront des attaques.»

Les risques de tous ordres sont d'autant plus amenés à perdurer que la cybercriminalité est particulièrement ardue à combattre. D'une part, parce qu'il est toujours très difficile de remonter jusqu'aux attaquants, sans parler de commanditaires éventuels. D'autre part, parce qu'«il y a une "prime" aux attaques internationales, explique Nicolas Arpagian. Un pirate informatique se fragiliserait à attaquer son propre pays.» Et la coopération internationale est encore embryonnaire.

La meilleure parade reste donc la vigilance, la «saine paranoïa» pour laquelle plaide Guillaume Poupard, le directeur de l'Anssi. En la matière, il y a une grosse marge de progression. Dans son dernier rapport d'enquête sur les compromissions de données, l'entreprise américaine Verizon souligne que 63 % des cas avérés dont elle a eu connaissance «ont impliqué l'exploitation de mots de passe faibles, par défaut ou volés». Et que 12 % des cibles d'un mail frauduleux ont cliqué sur la pièce jointe ou le lien malveillant... Comme dit la formule, le problème est bien souvent situé entre la chaise et le clavier.