Comment se prémunir de la cybercriminalité ?
Avec la numérisation croissante et l’utilisation des transactions en ligne et mobiles, les cybercriminels s’en donnent à cœur joie. Quelle est l’ampleur du problème et comment les services répressifs mondiaux peuvent-ils contrer les criminels ?
Il n’est pas surprenant que le thème du mois international de la sensibilisation à la cybersécurité (CSAM) d’octobre 2022, observé dans de nombreux pays du monde, ait été « Il est facile de rester en sécurité en ligne ». Toutefois, si le message se veut rassurant, la réalité est qu’il est tout sauf facile de rester en sécurité en ligne.
L’initiative annuelle a été lancée en 2004 par le ministère américain de la sécurité intérieure et l’Alliance nationale pour la cybersécurité, une collaboration entre le gouvernement et le secteur privé visant à sensibiliser à la sécurité numérique et à donner à chacun les moyens de protéger ses données personnelles contre les formes numériques de criminalité.
Depuis, cette collaboration s’est étendue à d’autres régions, notamment l’Europe, l’Asie, l’Amérique latine et l’Afrique, réunissant une série de parties prenantes parmi lesquelles des agences gouvernementales, des régulateurs, des agences des Nations unies et des agences internationales, des géants de la technologie et des fournisseurs de cybersécurité. Le message est clair : la cybersécurité est une responsabilité partagée.
Dans un monde préoccupé par l’ampleur et le rythme des innovations technologiques en matière d’intelligence artificielle, de métavers et de blockchain, cette collaboration est inévitablement fragmentée en raison de la disparité des économies, des systèmes de paiement et des stratégies de lutte contre la cybercriminalité.
Selon le fournisseur de messagerie financière SWIFT, « toutes les juridictions n’utilisent pas la même terminologie, ou n’ont pas les mêmes classifications lorsqu’elles définissent la fraude et la cybercriminalité. Cela peut entraîner une fragmentation de la compréhension des données et des statistiques parce qu’elles ne sont pas toujours comparables ».
Cette situation est aggravée par l’apathie des géants de la technologie qui, après tout, sont les « facilitateurs » technologiques, bien qu’involontaires, de la fraude et des escroqueries en ligne, et par les lacunes des régulateurs qui ont toujours un pas ou deux de retard sur les innovateurs et les cybercriminels de plus en plus sophistiqués.
Le message du CSAM rappelle la menace mondiale croissante que représentent la cybercriminalité et la fraude en ligne, et rassure les internautes en leur indiquant qu’il existe de nombreux moyens de sécuriser leurs informations personnelles et leurs données privées lorsqu’ils naviguent sur l’internet et l’utilisent.
Aucun pays n’est épargné
La fraude est plus qu’un simple problème de cybersécurité. Compte tenu de l’épidémie d’escroqueries, les coûts socio-économiques englobent les pertes financières pour les consommateurs et les banques, l’atteinte à la réputation des banques victimes d’un cyberincident ou qui n’ont pas remboursé les victimes de la fraude, et le risque de responsabilité pour les banques dans plusieurs juridictions. L’impact psychologique sur les victimes peut être extrêmement préjudiciable.
Pour les banques, la cybersécurité est désormais l’un des principaux domaines d’intervention, car un nombre croissant de leurs clients sont victimes d’escroqueries plus sophistiquées reposant sur des techniques cybernétiques et utilisant des techniques avancées d’ingénierie sociale et de manipulation. La South African Reserve Bank (SARB), par exemple, a identifié plus de 25 types différents de cybercrimes et d’escroqueries en ligne.
Aucun pays n’étant épargné et le secteur des services financiers étant désormais une cible privilégiée des criminels. Selon le Cybercrime Report 2022 de Cybersecurity Ventures, le phénomène connaît une croissance exponentielle, le coût annuel mondial étant estimé à 8 000 milliards de dollars en 2023. À cela s’ajoute le coût croissant des dommages résultant de la cybercriminalité, qui devrait s’élever à 10,5 milliards $ d’ici à 2025.
Pour les pays d’Afrique subsaharienne, qui ont des liens historiques avec la City de Londres, des liens commerciaux et d’investissement ainsi que des liens culturels, sportifs et touristiques avec le Royaume-Uni, le dernier rapport annuel sur la fraude publié par UK Finance, l’organisme professionnel de l’industrie bancaire britannique, est d’une grande sobriété. Au Royaume-Uni, en 2022, quelque 1,2 milliard de livres ont été dérobées par des criminels dans le cadre de fraudes financières autorisées et non autorisées, soit plus de 2 300 livres par minute, et le même montant de tentatives de fraude a été évité par l’industrie financière grâce à des contre-mesures.
Le rapport montre que 78 % des cas de fraude par paiement poussé autorisé (lorsqu’une personne est incitée à envoyer de l’argent à un fraudeur) proviennent d’Internet, en particulier des plateformes de médias sociaux, et 18 % des télécommunications.
Les pays africains figurent en bonne place dans le dernier classement mondial des 100 pays les plus exposés aux menaces en ligne établi par l’entreprise de protection de la cybersécurité Kaspersky. Le Kenya est classé 35e, le Nigeria 50e et l’Afrique du Sud 82e.
Des pirates agiles
Amin Hasbini, responsable de la recherche et de l’analyse au niveau mondial chez Kaspersky, explique que « les attaques criminelles sont principalement motivées par la recherche d’un profit financier, tandis que les attaques avancées indiquent comment les acteurs de la cybermenace adaptent continuellement leurs tactiques et leurs outils pour enfreindre les mesures de sécurité ».
Dans ce contexte, « une grande partie des attaques observées en Afrique sont liées à l’évolution rapide du paysage géopolitique. Cependant, il est de plus en plus préoccupant de constater que les cybercriminels apprennent à affiner leur art à partir d’attaques avancées réussies », explique l’expert.
Au premier trimestre 2023, Kaspersky a signalé une augmentation des attaques par porte dérobée et par logiciel espion, des exploits et de l’utilisation de machines zombies au Kenya, au Nigéria et en Afrique du Sud.
Selon le South African Banking Risk Information Centre (SABRIC), la fraude bancaire numérique a connu une baisse de 18 % des incidents signalés en 2021-22, principalement attribuée à une réduction des incidents de fraude bancaire mobile. Mais on a constaté une augmentation des fraudes et des pertes liées aux applications bancaires en raison de l’augmentation du nombre d’utilisateurs.
Bien que la fraude bancaire en ligne constitue la plus petite partie des incidents de criminalité bancaire numérique (20 % du nombre enregistré), elle représente la deuxième plus grande partie des pertes brutes (45 %).
Certains pays d’Afrique subsaharienne semblent être victimes de leur propre succès. L’une des conséquences les moins attendues de la pandémie de Covid-19 a été l’accélération mondiale de la numérisation, en particulier dans les domaines de la Fintech, de la banque en ligne, du commerce électronique et des solutions de paiement.
En Afrique subsaharienne, l’argent mobile est devenu une affaire importante pour les fournisseurs de télécommunications, avec plus de 144 fournisseurs d’argent mobile en activité, et M-Pesa, MoMo et Orange Money qui dominent le marché. Selon le rapport GSMA State of the Industry Report on Mobile Money 2023, les comptes d’argent mobile enregistrés ont augmenté de 13 % d’une année sur l’autre, passant de 1,4 milliard $ en 2021 à 1,6 milliard en 2022. Le nombre d’agents d’argent mobile est passé de 12 millions $ en 2021 à environ 17 millions en 2022, soit une augmentation de 41 %. La valeur totale des transactions a augmenté de 22 % entre 2021 et 2022, passant de 1 000 milliard $ à environ 1 260 milliards $, dont 832 milliards proviennent de l’Afrique subsaharienne, le taux de croissance africain étant identique à la moyenne mondiale, 22 %.
Il n’est pas surprenant que les cybercriminels ciblent les utilisateurs de téléphones Android, sur le continent. Selon le rapport d’activité Q1 2023 de Kaspersky sur les menaces persistantes avancées (APT), les téléphones Android détiennent une part de marché dominante de 75 % dans la région META, ce qui représente 14 % des installations d’applications financières mobiles potentiellement indésirables.
Des menaces sophistiquées
« Les cybermenaces pour ce système mobile, prévient Igor Golovin, analyste des logiciels malveillants chez Kaspersky, restent persistantes. Certaines applications financières mobiles offrent des services de microcrédit apparemment légitimes, mais il s’avère qu’elles se livrent à des escroqueries et collectent des données personnelles sur les téléphones des utilisateurs. » Ces applications demandent l’accès aux messages texte, aux contacts et aux photos/vidéos avant d’accorder un prêt. Lorsque l’utilisateur retarde le paiement d’une dette, les opérateurs d’applications peuvent utiliser les données collectées sur le téléphone à des fins de chantage et pour forcer l’utilisateur à rembourser la dette.
« Le paysage des menaces évolue et les cybermenaces financières mobiles deviennent de plus en plus sophistiquées et omniprésentes », prévient-il. Si le téléchargement d’applications pour smartphones à partir des magasins d’applications officiels est moins risqué, les applications peuvent toujours demander à l’utilisateur de donner accès à différents types de données personnelles qui peuvent ensuite être utilisées à mauvais escient.
Aussi, les smartphones étant utilisés pour stocker un nombre croissant de données personnelles, le fait d’y donner accès soulève-t-il des problèmes de sécurité et impose des exigences supplémentaires en matière de sécurité des appareils mobiles et de méthodes de stockage des données qui préservent la vie privée.
Les PME sont également une cible de plus en plus importante pour les fraudeurs en ligne, ce qui constitue une préoccupation majeure pour les pays en développement. Les recherches menées par Kaspersky montrent qu’au cours des cinq premiers mois de 2023, 764 015 fichiers malveillants destinés aux PME ont été détectés, notamment par le biais du smishing, une combinaison astucieuse de SMS et d’hameçonnage.
@AB
