Le cybercrime est un monde en constante évolution, mais une chose est certaine : il n’est plus l’apanage de spécialistes en technologie. L’émergence de hackers débutants démontre que les seuils technologiques de la cybercriminalité ont baissé, mais aussi qu’une nouvelle génération de hackers décomplexés est en train d’inonder Internet.
Une technologie plus facile à appréhender
Le niveau technologique à maîtriser pour développer et mener des cyberattaques est bien plus bas que par le passé. Revenons dix ans en arrière, il fallait au minimum un niveau d’ingénieur spécialisé en informatique pour développer des talents de hackers. Et encore, cela se faisait au prix d’un apprentissage acharné et confidentiel.
Aujourd’hui, la donne est tout autre. Les cybercrimes tels que les attaques DDoS, les virus
et les rançongiciels sont proposés sur certains sites ou plateformes sous forme d’abonnement. Ce qui réduit drastiquement le niveau requis pour entrer dans la cybercriminalité.
Il y a, en effet, des kits de phishing qui sont disponibles sur le Dark Web à partir de 5 euros ou des possibilités de souscrire à des attaques DDoS sur abonnement pour 400 euros. Les outils de ransomware peuvent même être proposés sur le modèle de l’affiliation, avec des commissions versées à ceux qui les distribuent.
Ce phénomène est à la base du développement des hackers débutants, c’est-à-dire des nouveaux pirates du Web sans connaissance ni expérience, mais qui se lancent dans cette activité pour se faire de l’argent facile.
Aujourd’hui, presque tout le monde peut s’improviser cybercriminel et lancer ses propres campagnes de phishing, de vols de données ou de détournements de paiements. L’écosystème de la cybercriminalité est donc en train de changer radicalement et va connaître une expansion phénoménale qui n’en est peut-être qu’à ses débuts.
Une nouvelle génération de hackers sans scrupules
Cet abaissement des seuils technologiques pour créer des cybermenaces débouche inévitablement sur une toute nouvelle génération de hackers : ces pirates débutants sont puisés dans la génération Z (les personnes nées après 1995 et avant 2010) qui arrivent à maturité et cherchent des moyens de gagner leur vie de manière pratique et rapide.
Cette génération Z de hackers défraie déjà la chronique. En Angleterre, c’est le groupe d’adolescents Lapsus$ qui a fait la une des journaux. La bande s’était organisée pour déployer des attaques en grand nombre en ciblant des marques majeures de l’univers technologique, comme Ubisoft, Microsoft, Nvidia, Okta ou encore Samsung. D’autres organisations de hackers sont dirigées par des cerveaux d’à peine 16 ans.
Cette génération est née dans un monde numérique et maîtrise parfaitement ses codes et ses outils comme les smartphones, les technologies cloud et les réseaux sociaux. De plus, elle recherche une sorte de validation sociale dans cet univers en réalisant des prouesses techniques. Ainsi le groupe Lapsus$ recherchait des “Kudos”, c’est-à-dire des sortes de Like numériques, des acclamations pour leurs exploits en ligne.
Cette sphère de hackers voit alors une sorte de compétition se mettre en place. Cette émulation aboutit à un abaissement notable de la moyenne d’âge des pirates et surtout une frénésie à tout tenter, et à agir sans aucune modération.
En 2023, la priorité des hackers reste le vol des informations d’identification
C’est un peu la clef magique pour accéder à tout le reste. Les informations d’identifications, c’est-à-dire les identifiants et les mots de passe, sont des sésames ultra-puissants. Ce sont aussi des points particulièrement fragiles, car souvent négligés.
C’est la priorité des hackers et la base de leur business. Cela devrait le rester en 2023, puisque ce genre d’informations est à la base de toute tentative de phishing, de rançonnage, permet d’accéder à des comptes bancaires, des données confidentielles comme des données de santé ou des données privées. Ces dernières peuvent inclure des informations sur les personnes qui composent un foyer, les assurances souscrites, les mesures de sécurité associées à un foyer ou une entreprise, voire permettre de trouver une adresse IP ou toute information complémentaire susceptible d’ouvrir des opportunités d’escroqueries ou d’atteintes aux personnes.
Note : article publi-rédactionnel