Dans le monde, de nombreuses entreprises choisissent la voie de l'aveuglement volontaire en matière de cybersécurité. Cependant, selon les experts consultés, les entreprises québécoises accuseraient un retard par rapport à leurs consoeurs américaines.

Concrètement, pas moins de 42,6 % des 300 plus grandes entreprises du Québec seraient compromises. C'est du moins le résultat auquel Éric Parent est parvenu en entrant les noms de domaine et les adresses IP des entreprises concernées dans un moteur de recherche qui balaye les sites de piratage du Web invisible.

« Il y en a 128 sur 300 pour lesquelles on propose des vulnérabilités exploitables ou quelque chose pour entrer dans leur système », souligne le pdg de LogicNet.

Éric Parent a mis au point le moteur de recherche qu'il a utilisé pour réaliser son enquête sur les entreprises québécoises afin d'offrir un service de veille à ses clients. Dans un contexte où 73 % des attaques ne sont pas détectées, selon PwC, il s'agit d'un moyen supplémentaire pour que les entreprises décèlent des vulnérabilités passées sous le radar.

« Les entreprises n'ont pas d'autres choix que de se soucier de ces marchés du cyberpiratage, car ils sont de plus en plus matures », soutient Lillian Ablon, coauteure de l'étude « Markets for Cybercrime Tools and Stolen Data » et chercheuse à la RAND Corporation.

L'étude se penche notamment sur la tendance du piratage à la demande (hacking as a service), un terme inspiré de logiciel à la demande (software as a service). Elle révèle notamment qu'on peut louer une boîte à outils malicieuse (exploit kit) déjà installée sur des serveurs pour 600 $ par mois, acheter un numéro de carte de crédit pour 20 $ ou encore se procurer des mots de passe à un coût variant de 16 $ à 365 $.

« Non seulement les pirates sont prêts à travailler pour le client, mais ils offrent du soutien technique, explique Benoît Dupont, professeur spécialisé en cybersécurité à l'École de criminologie de l'Université de Montréal. Lorsque vous avez un problème, ils vous donnent un numéro de dossier et s'engagent à le régler le plus rapidement possible. »

Compte tenu de la sécurité accrue autour des cartes de crédit, Lillian Ablon soutient que les pirates s'y intéressent moins aujourd'hui. « Les comptes sur les médias sociaux sont des cibles plus faciles et ils peuvent s'avérer plus payants », explique-t-elle.

Selon la chercheuse américaine, un compte Twitter ou Facebook peut valoir de l'or dans les mains de pirates. Entre autres, ces derniers peuvent soutirer de l'argent à la victime en volant son identité ou diriger ses abonnés vers des liens malicieux.

Benoît Dupont note lui aussi qu'en 2015, le cybercrime touche moins les cartes de crédit que dans le passé. « Les outils des cybercriminels n'ont pas vraiment changé, mais ils ont diversifié leurs sources de revenus et sont prêts à jouer sur plusieurs tableaux à la fois, dit le professeur. Même si vous êtes une entreprise en région et que vous n'avez pas de cartes de crédit, vous avez probablement des informations précieuses pour un cybercriminel. »

À lire aussi:
Cinq stratégies pour réduire le risque