@ccueil / actualité / jurisprudence / chroniques / internautes / professionnels / universitaires

Rubrique : internautes / revues de presse
Mots clés : commerce, électronique, ventes, achats, bilan 
Citation : Juliette AQUILINA, "Commerce électronique : premier bilan", Juriscom.net, 4 avril 2000


Commerce électronique : premier bilan

Juliette Aquilina


Internet n'en finit plus de faire parler de lui. On clame haut et fort depuis bientôt cinq ans que le Réseau n'est pas un espace de non-droit, on sécurise, on encadre, on réglemente, on légifère de tous bords. Mais nous voilà revenus à la case départ ! « La loi de la jungle règne sur le Web : violence, terrorisme, piraterie... », titrait Le Figaro en février dernier.

Wanted : a genuine hacker !

Dans une récente dépêche de l'AFP (13 mars 2000), nous apprenions que l'inventeur de la carte à puce lui-même, le français Roland Moreno, offrait un million de francs  à qui réussirait , « à la seule aide d'un micro-ordinateur et d'un lecteur de cartes à puces », à violer le code secret d'au moins trois cartes à puces en circulation ou « à écrire une information dans la zone réservée d'une télécarte  ».

Ce défi intervient alors qu'une semaine auparavant, des pirates informatiques avaient diffusé sur Internet la clé mathématique permettant d'utiliser frauduleusement les millions de cartes bancaires circulant en France, d'en fabriquer de fausses et de tromper certains terminaux de paiement. Françoise-Marie Santucci (Libération) nous expliquait alors  que la menace était « réelle et confirmée au plus haut niveau de l'État, par le chef du Service central de la sécurité des systèmes d'information (SCSSI), qui dépend du secrétariat général de la Défense nationale ». La divulgation de cette clé, véritable « formule secrète des cartes bleues  » qui tient en 96 chiffres, va-t-elle obliger les banques françaises à remplacer les millions de cartes en circulation sur le territoire ainsi que les lecteurs ou terminaux de paiement ?

M. Moreno, dont la société Innovatron détient les brevets de base de la carte à puce, reconnaît la possibilité de fabriquer des fausses cartes grâce à la formule mathématique diffusée sur Internet. Elles seraient acceptées par certains terminaux de paiement qui n'interrogent pas les banques pour vérifier l'existence d'un compte bancaire (comme les distributeurs de tickets de métro ou les péages d'autoroute), mais, selon lui, « il est impossible de lire ou de modifier une information qui figure sur la puce, ni a fortiori d'en tirer le code secret à 4 chiffres  ». Il a également précisé que le piratage de cette clé ne pourrait en aucune façon affecter les distributeurs de billets, « qui ne lisent que les pistes magnétiques des cartes ». La probabilité de violer les cartes à puce existantes est donc très minime.

Le vent de panique qui souffle actuellement autour du piratage informatique (hacking) trouve son origine dans les attaques massives perpétrées à l'encontre des sites « vedettes » du Net marchand, en février dernier. Opération très médiatisée qui a eu son impact sur l'opinion publique.

Un nouveau type d'attaque...

Dans la semaine du 7 février 2000, plusieurs sites populaires ont été pris pour cibles par de mystérieux hackers aux motivations encore inconnues. Qualifiées de « refus de service » (RDS) ou « denial of service » (DOS) en anglais, ces attaques consistent à saturer un site en submergeant de connexions le serveur qui l'héberge. Il suffit simplement de se munir d'un logiciel et le mauvais tour est joué ! Les avancées sont particulièrement spectaculaires dans le secteur des logiciels dits RDS ou DOS. Une nouvelle génération de programmes a récemment vu le jour. Offerts sur Internet depuis l'automne dernier, ils portent des noms parfois énigmatiques (Trinoo ?), ou ô combien évocateurs, comme le Tribal Flood Network  - en l'anglais, le mot flood signifie inondation, débordement -.

Lundi 7 février dernier, les sites du portail Yahoo! ont été bloqués pendant trois heures. Le lendemain, c'est au tour du célèbre site d'enchères eBay , des sites de commerce électronique Amazon.com et Buy.com , et des grands sites informationnels, comme CNN.com, d'être mis « hors-service ». Mercredi, la vague a touché pendant plusieurs heures le site de bourse en ligne E*Trade (Le Monde du 11 février). Certains sites français, hébergés par des serveurs américains, ont également été touchés par cette déferlante. Seul MédiaCash a officiellement déclaré un blocage d'accès à son site, pendant dix-neuf heures. Le caractère coordonné de ces attaques non revendiquées a produit un effet quasi-dramatique. Le gouvernement américain et le FBI se sont immédiatement mobilisés. L'enquête est ouverte...

... un procédé pourtant « classique »

Malgré leur aspect théâtral, ces attaques ne constituent pas à proprement parlé un piratage. À l'instar de Marie-Cécile Renault (Le Figaro économie du 11 février),  nous constatons que leur but était de mettre les sites hors d'usage, en les bombardant avec un trafic énorme, mais pas de falsifier leur contenu, ni de leur dérober des informations. En effet, les auteurs de ce « crime » n'ont détruit aucun document, ni volé aucun numéro de carte de crédit. « Ce n'est pas un voleur qui s'introduit dans votre maison mais plutôt une bande de sales gamins qui tirent la sonnette à longueur de journée pour vous empêcher de travailler ! », affirme Vincent Maret, expert de la sécurité chez Ernst & Young. Les experts informatiques soutiennent que les hackers  ont utilisé des procédés « ultra-simples, à la portée de tous » et que leurs attaques constituent « un grand classique du genre » ! Si l'affaire a fait tant de bruit, c'est que « des géants du secteur s'y sont fait prendre », nous dit Marie-Cécile Renault.

Dans un dossier spécial consacré à la question, Le Figaro économie retrace la typologie des sinistres ou procédés de piratage déjà connus. Nous les reproduisons ci-après, en prenant soin de mettre en italique les techniques utilisées lors des récentes intrusions :

  • « planter » un serveur web ou le contaminer avec des virus ;

  • Modifier les pages d'un serveur web ;

  • Récupérer les adresses de ceux qui s'adressent à un serveur web ;

  • Déréférencer l'adresse d'un serveur web dans les moteurs de recherche ;

  • Contrefaire des noms de domaine ;

  • Noyer un serveur web en effectuant des connexions répétées et systématiques ;

  • Déposer des fichiers compromettants piratés sur un serveur puis révéler    leur présence au public ;

  • Pénétrer sur un serveur A puis attaquer d'autres serveurs B, C, D... à partir du serveur A ;

  • Introduire sur un site A une invitation à accéder à un site B concurrent ;

L'impact du sabotage

Les récents événements nous révèlent la fragilité de l'infrastructure Internet et la vulnérabilité des entreprises qui y sont présentes. Les .com's touchées par ces attaques ont instantanément subi des pertes financières. Selon les analystes du Yankee Group, ces pertes s'élèvent à 1,2 milliards de dollars pour les quelques heures de fermeture de leurs sites. La valeur boursière des entreprises en a également pris un coup. Le Nasdaq, marché sur lequel les sociétés présentes sur le Web sont cotées, a vacillé, entraînant avec lui la plupart des places boursières internationales. Le titre Yahoo !, dont la valeur boursière dépasse les 95 milliards de dollars, a ainsi baissé de 2,7% au lendemain de l'événement. Sans compter l'impact de ces incidents sur la confiance accordée par les cyberconsommateurs, réels ou potentiels, au médium lui même. Ces attaques ont ravivé les craintes sur la confidentialité et la fiabilité du Réseau. Selon un sondage Forrester Research, 58% des consommateurs en ligne américains, pourtant internautes « de la première heure », ont déclaré qu'ils ne retourneraient plus sur un site ayant subi un assaut (USA Today du 11-13 février). Cette vague de sabotage constitue donc une sérieuse atteinte à l'image de marque du commerce électronique, qui a déjà quelques difficultés à développer et fidéliser sa clientèle.

Qui sont les « criminels » ?   

Les motivations qui conduisent les responsables à perpétrer de telles attaques, contre les « grands » de notre monde virtuel, restent floues. Certains n'hésitent pas à qualifier ces individus de « cyberterroristes », de « political hacktivists » ou autres sobriquets à tendance révolutionnaire. Piratage, sabotage, conspiration, complot, enquête, FBI... l'Amérique panique mais existe-t-il un véritable danger ?

À la différence des crackers, qui s'introduisent frauduleusement dans des sites web pour les piller ou dans un but lucratif, les hackers  ne font que « visiter » (et parfois modifier) des sites, le plus souvent officiels. Ils tentent de percer leurs défenses, afin d'en démontrer la fragilité. Ils soulignent le manque de fiabilité des outils (fire-wall ou autres) censés assurer la protection des serveurs hébergeant les sites officiels. Gérard  Nicaud  les qualifie de « surdoués de l'informatique qui pénètrent dans des sites pour les tourner en dérision, généralement avec un humour à la Charlie-Hebdo » (Le Figaro). Dans un monde manichéen, les hackers  sont finalement des « gentils » qui exercent leur talent dans le noble but d'alerter les autorités sur les faiblesses de leurs réseaux informatisés. Le groupe 2600, une des nombreuses associations hackers, s'insurge d'ailleurs contre la désinformation dont ils font l'objet depuis les récents événements. Certains membres réfutent vigoureusement le rôle de « méchants » qu'on voudrait leur faire jouer, et suggèrent que les attaques « ont parfaitement pu être réalisées par une personne qui n'a qu'une petite expérience de l'informatique, (...) voire une poignée de gamins libertaires pour qui Internet ne doit pas devenir un gigantesque supermarché  » ! (Le Figaro).

Les sanctions applicables

Les autorités étatiques, les entreprises concernées et certains internautes accordent beaucoup de crédibilité à ces attaques, qu'ils ne considèrent pas comme de simples canulars. « Derrière, ce sont les grands concurrents, ou les services secrets des pays qui défendent les intérêts économiques de leurs entreprises » (Le Monde). S'ils nous sont plutôt sympathiques, et que leurs actions peuvent paraître « bon enfant », les pirates informatiques ne sont donc pas au-dessus des lois.

Le FBI, qui s'est sérieusement lancé sur la piste des hackers  anonymes, auteurs des attaques de février dernier, nous annonce que les mauvais plaisantins risquent jusqu'à dix ans de prison, et sont passibles d'une peine d'amende équivalente au double des sommes perdues par leur victime. En France, les « saboteurs » tombent sous le coup des dispositions du code pénal, qui inflige trois ans d'emprisonnement et 300 000 francs d'amende, à toute personne qui aurait « entravé ou faussé le fonctionnement d'un système automatisé de données  » (cf. dossier du Figaro).  

Ce qui est certain, c'est que l'enquête s'annonce ardue. Pas évident, en effet, de retrouver les traces virtuelles ou l'identité des auteurs !  Ils   « squattent » généralement des systèmes informatiques innocents, comme ceux des fournisseurs d'accès Internet, pour lancer leur afflux de messages et brouiller les pistes. Le gouvernement américain est particulièrement sensibilisé. Il a d'ores et déjà décidé de « former ses policiers à la détection des cybercriminels ». Et devinez qui a hérité, à mots couverts, de ce mandat ?... Microsoft, bien sûr ! (cf. chronique Multimedium du 22 mars 2000).

Coup de bluff ?

Avant de crier au complot organisé ou à l'invasion des pirates, il serait utile de mesurer l'impact réel , pour autant qu'il y en ait un, des débordements du mois dernier. Les dégâts ont été minimes. La mise hors-service des sites n'a pas eu de conséquences « dramatiques », puisqu'aucun chantage n'a été exercé, aucune donnée n'a été perdue, aucun fichier n'a été violé et que les renseignements confidentiels relatifs aux consommateurs des sites attaqués n'ont pas été détournés.

Bill Clinton lui-même a dit qu'il ne fallait pas réagir de manière excessive, mais plutôt renouveler de vigilance afin de préserver un système informatique ouvert, qui ne soit pas « injustement bloqué par des lois ou des taxes ». Les cybermarchands se veulent, eux aussi, plutôt sereins. Comme le fait remarquer un expert français en sécurité réseaux, « il faut parler de ce type d'attaque en termes de sabotage, il n'y a pas d'intrusion dans les sites et on ne brise pas un système de défense » (cf. l'article consacré au sujet dans le Journal du Net). Sans compter qu'il existe toute une kyrielle d'outils techniques, logiciels et autres filtres  destinés à repérer les anomalies de trafic sur Internet, mais « les sites préfèrent ne pas les activer car ils ralentissent le temps de réponse des machines aux clients légitimes » (Le Figaro).

Alors, les grands noms de la nouvelle e-économie sont-ils véritablement en danger et le piratage informatique sonne-t-il le glas de la sécurité sur le réseau ?

Nous pouvons nous demander si, sous couvert de lutte contre de  mystérieux pirates (qui, pour le moment, nous font plutôt l'effet de fantômes), il n'y a pas là un moyen insidieux de limiter la liberté d'action sur le Réseau ou de porter atteinte à la vie privée des utilisateurs. Pour certains, toute l'affaire a été manigancée par le Big Business  américain, cousin du Brother, à la veille de la déposition au Congrès d'une loi relative à la sécurité sur le Net. Selon eux, « les entreprises auraient elles-mêmes orchestré cette attaque pour obtenir des lois permettant de connaître l'identité des internautes en visite sur leurs sites commerciaux » !  (Cf. article publié dans l'hebdomadaire montréalais Voir  du 17-23 février).

Submergés d'informations contradictoires, nous sommes bel et bien au bord de l'overdose. Cependant, est-il besoin de sombrer à nouveau dans la paranoïa collective ?  Souvenez-vous, la fin du monde, l'an 2000, son Bug...

J. A.

 

Juriscom.net est une revue juridique créée et éditée par Lionel Thoumyre
Copyright © 1997-2001 Juriscom.net / Copyright © 2000 LexUM