Les hackers et cybercriminels de tout poil n'ont pas chômé en 2007. C'est ce que confirment plusieurs grands éditeurs d'outils de sécurité, dans leurs traditionnels bilans de fin d'année. F-Secure, McAfee, Symantec, Websense, tous ont constaté une forte augmentation du nombre de nouveaux malwares (codes malveillants en tout genre) détectés sur le réseau mondial, mais surtout une évolution logique de leurs cibles et de leurs modes d'infection. Fini le piratage destructif de « grand-papa », les cybercriminels en veulent avant tout à nos données personnelles, que nous leur livrons presque sur un plateau grâce au développement des blogs et du « Web 2.0 ».

Selon Symantec, l'éditeur des célèbres Norton, les informations personnelles sont devenues une vraie monnaie d'échange pour les cybercriminels : « deux tiers des malwares détectés cette année avaient pour but de voler ce genre d'informations. Ces données [nom, e-mail, âge, mots de passe, profil, NDLR] sont ensuite directement revendues ou réutilisées à des fins malveillantes, pour mieux piéger les internautes. Les spams sont par exemple de plus en plus personnalisés, traduits dans la langue des victimes et souvent en rapport avec leurs centres d'intérêt », détaille Laurent Heslault, directeur des technologies de sécurité de Symantec en Europe du Sud.

Cette année plus que jamais, le spam classique par e-mail a été une des armes les plus utilisées. Mais de nouvelles formes se sont confirmées en 2007 et s'amplifieront en 2008 : le spam sous forme de commentaires postés automatiquement dans les blogs ( splog), dans les messageries instantanées, par SMS sur les téléphones mobiles et dans les index des moteurs de recherche.

Nombre de ces spams permettent de récupérer des données personnelles, en intégrant des codes malicieux ou des liens vers de faux sites. « Jusqu'ici, le phishing frappait surtout les grands sites, en particulier les banques en ligne. Mais celles-ci se protègent de mieux en mieux. On s'attend donc pour 2008 à un élargissement du phishing à des sites plus petits, pour récupérer des informations personnelles tout aussi exploitables », estime François Paget, chercheur antivirus chez McAfee. Websense alerte d'ailleurs les internautes sur le fort risque de spam en 2008 autour du thème des Jeux olympiques de Pékin.

Plus insidieux que le phishing, qui renvoie vers des sites contrefaits, la nouvelle tendance est aux leurres placés sur des sites légitimes. Les réseaux sociaux et autres sites de partage d'informations entre internautes constituent une cible de choix, puisque que les internautes y dévoilent eux-mêmes leurs informations personnelles et que n'importe qui peut y publier du contenu : « les pirates n'ont plus besoin d'aller chercher leurs victimes en leur envoyant des codes infectés. Avec le Web 2.0, elles viennent directement à eux », explique Laurent Heslault de Symantec.

Le site MySpace, notamment, a subi de nombreuses attaques cette année, des petits malins ayant intégré dans des pages perso des liens menant vers des sites malveillants : les fans de la chanteuse Alicia Keys en ont récemment fait les frais. De lourdes menaces planeront donc sur le Web 2.0 en 2008, s'accordent à dire les experts en sécurité.

Mais comment s'en prémunir ? En mettant régulièrement à jour son système d'exploitation, son navigateur, son pare-feu et son antivirus, sachant que ces derniers ne suffisent plus pour lutter contre les nouveaux types d'attaques. Il est préférable d'y ajouter des fonctions antiphishing voire antibot, censées détecter les fonctions de robots permettant à des pirates de se servir de votre PC à votre insu. Largement utilisés en 2007, notamment par le ver Storm, les bots devraient aussi se développer en 2008. Mais selon Symantec, il faut avant tout faire attention à ce que l'on publie sur les forums ou les sites de partage : « c'est comme si vous affichiez vos informations personnelles sur un arrêt de bus... Il faut penser aux conséquences », prévient Laurent Heslault.