Ce thème est au cœur des préoccupations de chacun, que ce soit l’entreprise via son parc informatique ou le particulier connecté depuis son ordinateur familial.
En effet, avec le développement croissant et inéluctable de l’utilisation d’Internet, les entreprises sont nombreuses à ouvrir leur système d’information que ce soit vis-à-vis de leur personnel (sur le lieu de travail ou en déplacement), partenaires, fournisseurs ou clients.
Concernant le particulier, celui-ci est amené à utiliser couramment sa connexion Internet pour des achats en ligne ou tout simplement pour consulter ou effectuer des opérations sur ses comptes bancaires.
Qui n’a pas entendu parler de ces Hackers et autres pirates informatiques des temps modernes qui tentent soit d’infiltrer le réseau informatique de votre entreprise ou bien encore de récupérer vos coordonnées bancaires afin d’effectuer des opérations à votre insu (phishing) ?!
Quels sont les enjeux et risques pour l’entreprise dans le contexte actuel ?
Quels sont les outils, moyens et piliers pour se prémunir à titre particulier ou professionnel ?
Telles sont les questions que nous nous posons tous aujourd’hui.
Richard Touret, responsable de la société BinarySEC, spécialisée en sécurité informatique, basée à Saint-Pierre et membre de l’ARTIC, répond aux questions de Christine Niox-Château (Chargée de mission ARTIC) afin de nous apporter un éclairage professionnel concernant ce défi lancé quotidiennement et ingénieusement par ces pirates des temps modernes.

o Christine Niox-Château : Pourquoi la sécurité informatique est-elle un sujet si actuel ?

- Richard Touret : Tout d’abord, rappelons que le système d’information d’une entreprise, d’une administration est devenu de plus en plus ouvert. Quelques illustrations de cette ouverture : l’accès internet est devenu courant sur les postes de travail, les entreprises se structurent de plus en plus autour d’un intranet ou d’un extranet, parfois ouvert à leur partenaires.
La messagerie électronique est citée comme le premier outil de communication (en moyenne 25 mails reçus par jour et par employé en France en 2005). De même, les entreprises se doivent d’offrir un accès au système d’information à leurs employés nomades, par exemple un technicien du service après-vente qui peut vérifier la disponibilité de pièces détachées en stock, un transporteur qui veut localiser ses camions ou encore un télé-travailleur (que je suis !). Les collectivités territoriales ouvrent également leur ‘informatique’ en proposant des services de e-administration (impôts, formalités, déclaration déménagement, information du citoyen, formulaires téléchargeables, etc.).
Par ailleurs, l’information est devenue très ‘portable’ et volatile. On peut facilement compresser des plans, fichiers de clients et autres données confidentielles sur une simple clé USB. Les liaisons internet actuelles facilitent des vols très rapides grâce aux débits disponibles.
Ajoutons enfin des raisons plus techniques. Les entreprises font évoluer leur informatique : celle-ci est décentralisée et standardisée vers un format ‘web’ c’est à dire que les applications internes à l’entreprise deviennent visualisables sur un navigateur (par exemple, Internet Explorer ™ ou Mozilla ™).
Tout ceci n’est pas critiquable, c’est même un progrès mais les systèmes sont plus ouverts, donc plus vulnérables et peuvent attiser les convoitises !

o Pourquoi peut-on chercher à s’introduire dans le système d’information d’une entreprise ?

- Les raisons sont nombreuses. Les motivations sont surtout financières. En première place figure le vol de données, par exemple les numéros de carte bancaire ou les données personnelles de clients. Aux Etats-Unis, les données nominatives (numéro carte bancaire, numéro de SS, de carte d’identité, etc.) de 52 millions de personnes ont été volées en 2005. Nous le savons parce que la loi oblige les administrations et entreprises américaines à déclarer ces vols. On peut raisonnablement penser que les proportions sont les mêmes en métropole ou à La Réunion ... Ces données ont une valeur marchande.
En deuxième lieu, je citerais l’utilisation de ressources : un exemple permettra de comprendre. Une personne malveillante va s’approprier de l’espace sur le site internet d’une entreprise ou sur le poste d’un particulier pour héberger des contenus, licites ou illicites, par exemple, des serveurs de musique, de jeux... j’ai vu des cas beaucoup plus graves de sites pédophiles hébergés sur le serveur web très anodin d’une entreprise. Ces mésaventures peuvent arriver à tout ordinateur connecté à internet, postes de particulier ou d’entreprise ! Sachez enfin que des petits malins savent ‘aliéner’ des dizaines de milliers de machines (par exemple via des chevaux de Troie) et ils louent ces réseaux (que l’on appelle des ‘botnets’ -ou réseau de robots-) pour des activités répréhensibles comme le spam, les attaques par rebond, etc.
En troisième lieu, vous avez des motivations de jeu, de défi entre jeunes surdoués de l’informatique. Cette volonté de montrer son savoir à la face du monde en pénétrant un réseau réputé inviolable (le site de la CIA a déjà été piraté) tend à diminuer car elle est peu lucrative. C’est pour cette raison que l’on voit de moins en moins d’infections virales d’envergure, très médiatisées, au profit d’attaques beaucoup plus ciblées, discrètes et rémunératrices.
L’espionnage est une autre motivation. J’ai vu des tentatives d’intrusion sur les serveurs de laboratoire de recherche. On va également chercher à récupérer le fichier de clients, les secrets de fabrique de son concurrent, des données sur les employés de l’entreprise ... Ou on va tenter de nuire à son image en maquillant son site internet. Un très grand éditeur de logiciels de sécurité a vu son site web totalement déformé. L’impact est terrible pour un spécialiste du domaine ! Imaginez un boucher présentant à son insu une viande avariée à son étalage !
Citons enfin les motivations politiques. Vous avez peut-être entendu dans la presse récemment que des centaines de sites danois avaient été attaqués pour les raisons que l’on connaît. Il y a quelques mois, les grands sites des administrations britanniques ont fait l’objet d’une attaque massive.

o Quels sont les conséquences et risques pour celles-ci ?

- Les conséquences sont très nombreuses. L’un des plus grands sites d’émission de cartes bancaires américain (CardSystem) a été racheté après avoir ‘perdu’ 40 millions de numéros de cartes bancaires ! C’est un cas extrême mais les mésaventures les plus fréquentes sont le vol de données nominatives (pour l’usurpation d’identité notamment) et l’indisponibilité des ordinateurs et des serveurs de production.
J’ai vu un hypermarché en métropole devoir fermer ses portes un samedi à cause d’une attaque virale. La perte de chiffre d’affaires était de l’ordre de 350.000 euros. Vous avez aussi des risques de pertes de productivité de l’entreprise si les boîtes aux lettres des employés sont engorgées par des spams, s’il n’existe pas de contrôle des usages d’internet ou encore si les ordinateurs de l’entreprise ont ‘attrapé’ des virus, spywares (logiciel espion) et autres programmes malveillants. Et l’impact sur l’image de marque peut être désastreux ...

o Quels sont les risques pour le particulier ?

- Les risques pour le particulier sont sensiblement les mêmes à savoir un risque financier en cas d’usurpation de données bancaires pour réaliser des achats.
Nous allons rappeler rapidement les programmes malveillants qui menacent les particuliers :
Les virus : programmes destinés à s’exécuter sur l’ordinateur avec des conséquences très diverses (faire que la machine s’arrête et redémarre, effacer certains fichiers, etc.).
Les vers : programmes se diffusant et se répliquant seuls.
Troyens : forme particulière de virus qui, tel un cheval de Troie, se fait discret pour agir en temps voulu.
Porte dérobée (ou backdoor) : forme particulière de virus, chargée d’établir une communication entre l’ordinateur et un tiers. Elle est utilisée pour constituer des réseaux de robots.
Logiciels espions (ou spyware) : programmes destinés à collecter des informations confidentielles, par exemple, de repérer les frappes de mot de passe sur le clavier... Les conséquences sont importantes, une affaire a défrayé la chronique en fin d’année dernière. Des pirates russes ont détourné par ce biais un million d’euros de comptes bancaires en ligne de particuliers français.
Adware : logiciels diffusant de la publicité et collectant éventuellement des informations pour encore mieux ‘cibler’ les publicités.
Le phishing : c’est l’envoi de mails avec usurpation d’identité et invitation à donner des informations confidentielles. Les cas de phishing bancaire sont nombreux : vous recevez un faux message d’une grande banque française vous invitant à vous connecter sur un faux site de la banque (mais judicieusement maquillé) pour donner des informations confidentielles comme le numéro de carte etc. À ce propos, une banque ou un commerçant électronique ne vous demandera jamais votre code PIN (code à 4 chiffres). En revanche, le code CVF (code à 3 chiffres au dos de la carte bancaire) peut vous être demandé. On imagine malheureusement ce que peut faire un pirate avec le numéro de carte bancaire et le code PIN... Autre exemple, l’utilisation de faux sites très populaires, par exemple, Google. Dans ce cas, les personnes avaient acheté des noms de domaine proches, par exemple, Googel ou Gougle... (voir ci-contre)
On citera également les mails canulars et les mails de type scamming, plus dangereux, où l’on vous invite à être intermédiaire pour le compte, par exemple, d’un ancien ministre Nigérian, doté d’une grande fortune mais incapable de la récupérer. De grosses commissions sont bien sûr promises à l’intermédiaire et le but est de faire payer une “avance” à l’internaute crédule...