Il appert que l’image dominante est guidée par les représentations médiatiques de l’objet. Cependant, ce monde n’est pas le seul à fournir une vue significative du pirate informatique. Ainsi, le monde des experts sécurité de l’information formalise également une image singulière de l’objet de recherche, et pas forcément reprise par les médias. Nous avons pu vérifier dans la deuxième partie de notre recherche, que le second questionnaire utilisé vers le monde des experts SSIC, formalise des résultats de recherche parfois fortement différents sur les éléments de valeurs généraux attribués aux pirates informatiques. De plus, le monde des pirates informatiques construit également des significations particulières qu’il convient d’étudier. Nous traiterons, ainsi, dans un premier temps, de la sécurité de l’information et de la communication comme domaine d’expertise participant aussi à la génération des significations sociales de l’objet de recherche. Puis, nous nous intéresserons également au monde des acteurs principaux de la cyberdélinquance, concernés au premier chef de la construction de leur propre représentation sociale.
1) La sécurité de l’information et de la communication pour domaine d’expertise
Le domaine de l’expertise, quant aux mondes de la cyberdélinquance, repose principalement sur le monde de la sécurité de l’information. Ce dernier est composé des professionnels spécialisés sur les différents référentiels de la sécurité de l’information, qu’ils développent et qu’ils reconnaissent ensuite comme solution requise pour pallier notamment aux risques de sécurité (le sous-comité ISO/JTC1/SC27167 : « IT Security
Techniques » représente, par exemple, une composante essentielle de ce monde des
experts sécurité). Pour ce faire, les experts sécurité sont à l’origine de nombreuses bases de connaissances de menaces ciblées permettant, par exemple, de prendre conscience des
profils des attaquants. Ainsi, une analyse des référentiels de sécurité des systèmes d’information et de la communication permet de faire une synthèse homogène de l'ensemble des risques de sécurité qu’il semble important de connaître et de comprendre pour l'utilisateur. Ces risques sont le plus généralement classés suivant différentes catégories de menaces qui constituent l'origine primaire du risque. Les principales catégories de risques de sécurité, définies à l’aide des menaces, sont donc les suivantes : phénomène naturel ou environnemental, défaillance technique, acteur humain non-malveillant, et enfin acteur humain malveillant (notre objet de recherche).
Au cœur du risque de sécurité, les experts estiment que la menace constitue certainement l'élément le plus difficile à cerner, du point de vue de son identification et de son niveau de dangerosité. Ceci est dû, comme expliqué précédemment, à son caractère purement probabiliste (on ne sait jamais quand une attaque peut se réaliser) et totalement incontrôlable. En effet, autant la vulnérabilité peut être contrôlée et diminuée par des contre-mesures (techniques ou non) à appliquer sur un système, autant il est difficile d'agir sur la menace généralement hors de portée de l'utilisateur (mais aussi de l’expert sécurité). C’est une des raisons pour laquelle la gouvernance des menaces relève de l’autorité des pouvoirs publics qui s’organisent en fonction des tendances ou de l’état global constaté de la menace. Le Conseil de l’Europe a, à ce titre, rédigé la Convention Cybercrime168, ratifiée à ce jour169 par 15 états membres et signée par 28. Elle est également entrée en vigueur dès janvier 2007 aux Etats-Unis.
Les experts sécurité ont procédé à la définition d’une catégorisation des menaces qui permet d’identifier de manière théorique toutes les possibilités pouvant atteindre un utilisateur, et pouvant être véritablement de nature diverse, pas uniquement en provenance de l’univers des TIC, mais aussi via des menaces humaines. Ces experts les décrivent sous le vocable globalisé de « cyberdélinquance » recouvrant à la fois les menaces, les attaques, les éléments dangereux, les préjudices générés par des « armées de pirates » structurées en organisations diverses. Ces derniers offrent notamment une classification des différentes typologies de pirates informatiques tels que les hackers, les
crackers, et les script-kiddies.
168 http://conventions.coe.int. 169 Données juillet 2006.
La structure CASES (Cyberworld Awareness & Security Enhancement
Structure)170, portail national luxembourgeois de la sécurité de l’information, faisant partie intégrante du monde des experts sécurité, a récemment structuré cette approche des trois profils catégorisés des cyberdélinquants, en rédigeant une fiche didactique complète de l’objet social de notre étude : « Les cyberdélinquants se définissent, communément,
soit comme acteurs visant l’intégrité d’un site informatique déterminé, soit comme acteurs menant un délit ou crime conventionnel à l’aide d’un outil informatique. La différence se décline selon l’utilisation faite, par le cyber-délinquant, du médium informatique ». Ainsi, si tout hacker peut être « étiqueté » en tant que cyberdélinquant,
tous les cyberdélinquants ne sont pas des hackers. Les hackers se démarquent des
crackers et des script-kiddies par leur sens de l’éthique. Contrairement à ces derniers, ils
n’attaquent pas leurs cibles, mais se contentent d’enfreindre la sécurité de leurs systèmes pour en souligner les failles. Il s’agit pour le hacker, à travers des moyens, illicites, il est vrai, de relever un « challenge » technologique tout en agissant pour le bien des organisations attaquées, puisqu’il permet l’amélioration de la sécurité du système d’information concerné. Le cracker ou « chapeau noir », souvent confondu avec le
hacker, pénètre les systèmes informatiques avec l’intention de nuire. Les scripts-kiddies,
quant à eux, forment le « bas de gamme » du piratage informatique. Si les deux communautés précédentes se focalisent sur des cibles spécifiques, les script-kiddies eux, lancent leurs attaques de manière totalement aléatoire en utilisant des listes de commandes groupées dans un script (programme exécutable), d’où leur nom. Ce type d’attaque ne demande pas un très haut niveau de connaissance informatique ; c’est pourquoi le script-kiddy est souvent un adolescent voire parfois un enfant. Ce dernier utilise des logiciels « prêts à l’emploi », ne maîtrisant nullement les conséquences de l’action entreprise, ni même son fonctionnement. Cette classification est largement développée et utilisée comme référence au sein du monde professionnel des experts de la sécurité de l’information.
170 http://www.cases.public.lu.
Pratiques courantes des attaques numériques retenues par l’expertise sécurité
Les risques appliqués aux systèmes d’information, connectés à des réseaux ouverts notamment, font l’objet d’une méthode d’analyse qui répond, nous l’avons vu, à l’équation suivante : Risque = Vulnérabilité*Menace*Impact.
La « Risk Equation » (équation du risque) est connue du monde des experts ; S. Bosworth et M.E. Kabay dans Computer Security Handbook, la reprennent dans le détail et en précise le fondement : « Les critères d’évaluation et de mise en place de la sécurité
informatique semblent très peu efficaces. Ce chapitre présente l’équation du risque en tant que nouveau moyen de vérifier les éléments principaux permettant une approche sécurité. Elle est utile pour les administrateurs systèmes, les gestionnaires de sécurité, et permet de prévoir et de garantir la sécurité à appliquer : Risque = Menace*Vulnérabilité*Coût171 ».
Il y a beaucoup de manières de voir le risque et beaucoup de différences dans l’utilisation même du terme. L’équation est simple : Risque = Menace*Vulnérabilité*Coût. Ainsi, « Tel un guide, les spécifications des normes
contiennent des critères qui ne conviennent pas forcément à toutes les organisations. « Risque = Menace*Vulnérabilité*Coût », est une équation qui fournit la base permettant de cibler les risques réels affectant les ressources ainsi que le moyen de le réduire et de les atténuer ».172
Tout système d’information et de communication possède des vulnérabilités qui peuvent être plus ou moins facilement exploitées par une menace. Une vulnérabilité est
171 « Many of the past and present criteria for evaluating and implementing computer security have proven to be only marginally effective, at best. This chapter presents the risk equation as another way to view the major elements of a sound computer security approach. The risk equation is useful to network administrators and security managers because it, better than anything else known can clarify thinking and help to maintain a well-directed, effective security course well into the future. There are many ways to look at risk and many subtle and subtancial differences in the use of risk-related terms. In the following simple approach, developped at TruSecure – ICSA Labs, just four terms are tied together as simple equation : Risk = Threat*Vulnerability*Cost. »
Computer Security Handbook (Bosworth, Kabay, 2002).
172 « Just as in the Code of Practice, the specification standard contains a variety of criteria, not all of
which will be applicable to every organization. Risk = Threat * Vulnerability * Even Cost which provides the foundation for focusing resources on real risk reduction and mitigation. »
Equation du risque également reprise dans ISO/IEC 17799 :2005, norme internationale de sécurité organisationnelle des systèmes d’information et de communication.