La cybercriminalité et la sécurité informatique

La cybercriminalité

Un crash embarrassant pour Bill Gates en pleine démo de Windows NT 4. Un bug similaire s'était produit au Comdex lors de la présentation de Windows 98 (avril 1998). Comme le disaient les mauvaises langues, si ce n'était pas un virus, la nouvelle plate-forme y ressemblait fort ! Depuis Microsoft a créé un économiseur d'écran simulant... le Bluescreen ! Authentique !

Les sinistres informatiques (V)

Par sinistre informatique, il faut entendre tout acte qui altère le fonctionnement normal des systèmes informatiques, qu'il s'agisse d'une panne hardware, d'un bug software, d'un accident ou d'un acte de malveillance.

La gravité du sinistre va de l'incident mineur résolu en quelques secondes au crash des serveurs de production ou l'effondrement du building qui impose le passage en "mode de survie" (Business Continuity Plan ou BCP) quitte à revenir au papier et au stylo durant quelques heures ou quelques jours jusqu'à rétablissant des systèmes. C'est le pire scénario qui puisse arriver à une entreprise mais également au domicile d'un particulier.

Selon le Gartner Group, 6% des ordinateurs accuseront en cours d'année une perte temporaire de données et nous avons expliqué précédemment que le piratage informatique a augmenté exponentiellement ces dernières années.

Nous pouvons donc immédiatement distinguer deux problématiques que connaissent bien les responsables du risque et de la sécurité informatique des entreprises et les auditeurs : la malveillance et l'insouciance des utilisateurs qui rassemblent l'essentiel des problèmes de sécurité informatique.

En effet, selon une étude de Verizon, 60 à 80% des actes malveillants en informatique sont réalisés depuis l'intérieur des entreprises ! Ce n'est pas pour autant qu'il faut négliger le risque d'intrusion externe et notamment depuis Internet où les pirates sont légions. Essayons de cerner ces problématiques et la manière de les éviter.

La malveillance : crakers et hackers

Nous avons vu en introduction que la cybercriminalité coûte une véritable fortune aux entreprises pour s'en prémunir, un montant qui représente entre 20 et 30% des frais d'une activité métier - entre des dizaines de milliers et plusieurs centaines de milliers d'euros chaque année - pour une grande entreprise et qui s'élève en moyenne à 218 € à titre privé (en frais de réinstallation, rachat de logiciel ou de matériel, etc.).

Les auteurs de ces actes ne sont pas nécessairement des pirates "professionnels" mais peuvent se cacher dans n'importe quel jeune passionné d'informatique et de défis, ce qui rend la lutte plus difficile car dans ce cas tout le monde est potentiellement suspect et tous les actes, même a priori anodins, doivent être pris en considération. Ne prenons qu'un exemple.

Le 22 juin 2007, le site de la police fédérale belge a été piraté, "défacé" comme on dit dans le jargon, par un hacker qui a mis les experts de la Federal Computer Crime Unit de la police (FCCU) au défi de l'identifier.

Un peu trop sûr de son anonymat et de ses compétences, le cyber-pirate a été arrêté moins de 24 heures après son délit, soit le 23 juin vers 17h, et mis à la disposition du Parquet.

Ce cyber-pirate était belge, connu sous le pseudonyme de SpyNet et habitait la banlieue de Bruxelles. Il faisait partie d'un groupe de trois jeunes âgés de 15 à 17 ans comprenant un Français surnommé Wamp et un Suisse dénommé SpY-TecH qui semblait encore sévir sur la toile le 24 juin et les jours suivants tel qu'en témoignent ces échanges de messages.

Les agents de la FCCU les ont identifiés après les avoir questionnés sur le forum de Zataz et en les traçant sur MS Web Messenger.

Etant mineur, SpyNet n'a pas été emprisonné mais ses parents étant responsables de ses actes, c'est sa famille qui a dû supporter les ennuis judiciaires et apprécier la facture. Que ses amis pirates soient prévenus.

Voilà une histoire où des jeunes passent leur temps "simplement" aux yeux de leurs parents mais provoquent des effets pouvant s'avérer très dommageables pour une entreprise en terme de réputation notamment. Dans ce cas ci la morale est sauve, mais combien d'utilisateurs ne sont pas victimes de cyber-pirates, en viennent à paniquer et ne parviennent pas à les identifier faute de moyens...

Selon Symantec, en 2004 un tiers des internautes belges avait été victime de piratage de sa ligne téléphonique par des programmes malicieux. Actuellement les fournisseurs de service et les administrations des P&T sont incapables d'empêcher ces actions criminelles.

Depuis 2013 par exemple, tous les opérateurs belges et même de pays limitrophes sont victimes d'un spammer qui diffuse sur les réseaux cellulaires un message du genre "Téléphonez d'urgence au +242800112645 pour obtenir votre lot" (rassurez-vous en général vous ne recevez qu'une seul fois ce message). Les experts cherchent encore le pirate à l'origine de ce spam qui potentiellement nuit à l'image des opérateurs et agace les clients.

Les moyens des opérateurs sont limités. Ils peuvent installer sur les lignes téléphoniques un système anti-spam, anti-phishing, anti-spyware et anti-virus sur le serveur gérant votre messagerie mais ils ne peuvent pas encore bloquer les SMS spam et autres publicités aveugles.

Seule une cellule de lutte contre la cybercriminalité comme il en existe dans certaines polices peuvent enquêter sur ces faits, encore faut-il que la victime porte plainte.

Les méthodes utilisées par le pirate informatique (cracker ou hacker) sont multiples et dépendent du profil de sa cible.

Souvent gourou en son domaine, le hacker se fait un honneur de franchir incognito les zones de sécurité des réseaux les plus sécurisés. Bien sûr en cas d'identification, il risque une peine de prison ferme et une sérieuse amende.

Son but est d'extorquer des informations sensibles à toute personne afin de les utiliser à son propre profit ou de les revendre au plus offrant. Mais parfois il agit sans autre but que de "faire un coup" pour le plaisir d'avoir percé un système et satisfaire son égo.

Même les plus hautes instances sont victimes des pirates. Ainsi, en 2008, ce fut au tour du président Nicolas Sarkozy de voir son compte bancaire piraté. En 2009, ce fut son ancien site Internet de campagne... Ceci dit, même l'Elysée fait du piratage quand elle effectue 400 copies illicites de DVD sans demander l'autorisation au producteur !

Si le pirate veut obtenir des informations, il n'a pas nécessairement besoin de matériel ni de logiciel. Il peut simplement compter sur son pouvoir de persuasion et la naïveté ou la cupidité de sa victime.

En effet, le pirate opère de plusieurs façons, en fonction de la complexité de l'objectif à atteindre et de la qualité de son interlocuteur :

- Par téléphone : c'est la méthode la plus rapide et la plus directe pour obtenir un renseignement. Avec du culot on peut se faire passer pour n'importe qui et obtenir pas mal d'informations a priori anodines pour un utilisateur non intéressé

- Par courrier : c'est le phishing et ses variantes papier, l'utilisateur recevant un courrier privé à l'entête d'une grande société

- Par Internet : variante du contact téléphonique, le pirate se fait passer pour un responsable informatique (un administrateur du système) pour vous mettre en confiance et vous soutirer des renseignements (une adresse IP, une adresse e-mail, un nom de répertoire, un mot de passe, une localisation, etc).

- Par contact direct : le pirate prend le risque de vous rencontrer en tête-à-tête. C'est une méthode qui semble fonctionner avec les sociétés de services qui ont l'habitude de recevoir des clients dans leur bureau sans nécessairement s'assurer des qualités de leur contact. C'est ce qu'on appelle le "social engineering".

Les connexions Wi-Fi sont également sources de problèmes. Sans protection locale sur votre ordinateur, vous pouvez être victime de pirates.

En effet, si votre accès Wi-Fi n'est pas protégé, à partir de la rue ou d'un autre bâtiment, un pirate peut accéder à votre ordinateur et consulter vos documents comme s'il travaillait depuis votre clavier !

Selon des essais effectués à Bruxelles en 2006, à peine 40% des réseaux Wi-Fi d'entreprise étaient protégés contre 75% des abonnés privés. Il semble donc que les personnes travaillant à domicile soient beaucoup plus sensibilisées au problème de piratage et se protègent mieux que la plupart des professionnels !

Ainsi que nous l'avons expliqué en première page, selon Symantec, le vol de données informatiques et d'informations confidentielles dans les entreprises est toujours en croissance.

A voir : La Minute Cyber - Décryptage d'un cas d'ingénierie sociale

La Minute Cyber #2 : Interview analyse forensique avec Stefan Leberre, Exatrack

La Minute Cyber #3 : Interview David Méheut - Clyde & Co (aspects juridiques)

Echos du piratage informatique

5 millions de données bancaires volées à Saks, Lords & Taylor, 2018

Des pirates informatiques de Daech s'attaquent à TV5 Monde, 2015

Les pirates de Rex Mundi s'attaquent au laboratoire Labio.fr, 2015

Photos dénudées de stars piratées sur l'iCloud d'Apple, 2014

Des routeurs privés victimes de cyberpirates en Pologne, 2014

800000 clients Orange piratés, 2014

Top 10 des pirates informatiques arrêtés en 2013, 2013

Piratage de mailbox: 10 ans de prison pour le hacker,2012

Le Playstation Network de Sony piraté, 2011

Cybercriminalité: attention aux keyloggers, 2010

Les Google Cars ont espionné les liaisons Wi-Fi, 2010

La Chine a piraté le projet JSF (F-35) de l'USAF, 2009

Piratage inforatique : un vaste réseau démantelé, 2008

La chasse aux Troyens est ouverte chez Apple, 2007

Les blondes à la rescousse des cybercriminels, 2007

Le FBI s'attaque aux réseaux Botnets, 2007

Monster victime des hackers, 2007

Les sites webs militaires plus dangereux que les blogs, 2007

Les sites américains victimes de cyber-attaques, 2007

45.6 millions de N° de cartes de crédits volés chez TJX, 2007

Heureusement avec le temps les mentalités changent et tant le grand public que les entreprises sont de plus sensibilisés à la sécurité informatique car il en va de la protection de notre vie privée ou des affaires des entreprises.

S'il existe de nombreuses solutions anti-piratages pour ne citer que le réseau virtuel privé, crypté avec signature digitale (le VPN tunnel), l'essentiel est de déterminer quel niveau de sécurité est suffisant et quand l'investissement devient trop cher ou trop lourd à gérer eut égard à la valeur des biens considérés.

Le sujet touchant la sécurité de votre ordinateur, nous y reviendrons en détail dans l'article consacré à la prévention du piratage informatique.

A voir : Explore a Google data center with Street View


Trois parmi les principaux centres informatiques du monde. A gauche, le centre d'opérations du réseau global d'AT&T (GNOC) installé aux Etats-Unis, dans le New Jersey dont voici une vidéo. Au centre, une partie de l'équipe support du 24th Air Force gérant le réseau des opérations de l'USAF (AFNETOPS). A droite, l'un des 36 data centers de Google à Council Bluffs, en Iowa. Ici, la cybercriminalité peut avoir des impacts opérationnels et stratégiques (et donc financiers) à l'échelle mondiale.

Motiver par l'appât du gain

Toute victime d'un virus ou d'un pirate informatique s'est un jour demandé ce qui motive un cybercriminel. On imagine qu'il a le profil du jeune écervellé qui se prend pour le "Robin des Bois" de l'informatique, de la personne aigrie bête et méchante qui cherche à nuire ou du programmeur fou qui risque le tout pour le tout pour le simple plaisir d'être le plus fort ou recevoir sa dose d'adrénaline.

Si ces profils se retrouvent certainement sur la toile, ils ne sont pas représentatifs des cybercriminels. En effet, dans son XII^e rapport "Internet Security Threat Report " (ISTR) publié en septembre 2007, Symantec analyse Internet et les menaces qui planent sur les entreprises et les particuliers.

Ce rapport révèle que la motivation des cybercriminels est avant tout lucrative. "Le but principal d'un pirate est d'accéder à des données [...] utilisables directement pour des opérations de fraude ou de vol", écrit Symantec.

Selon ce rapport, les pirates utilisent notamment des outils de phishing que l'on vend dans le commerce entre 35 et 75 € sur Internet. Leurs activités sont gérées par un nombre limité de pirates. "86% de tous les sites web de phishing sont hébergés par seulement 30% des adresses IP de phishing", explique Symantec. "En outre, trois kits de phishing sont à eux seuls responsables de 42% des attaques."

Symantec explique également qu'ils ont identifié un certain nombre de serveurs clandestins permettant à ces organisations cirminelles de commercialiser les données confidentielles. Les cartes de crédits par exemple représentent 22% des articles mis en vente sur les serveurs clandestins. Elles sont vendues par lot de dix ou vingt au prix de 35 centimes d'euros environ. Le numéro d'un compte bancaire se vend au prix de 22 €, un mot de passe de courrier électronique 73 centimes d'euros et un numéro de sécurité sociale vaudrait 3.6 €. Au total, ce trafic représenterait un marché valant des milliards de dollars.

Dans ces conditions, où l'appât du gain est plus fort que le risque, on comprend mieux l'instance avec laquelle ces pirates informatiques veulent à tout prix accéder à nos données personnelles et l'intérêt que nous avons tous et toutes à nous en protéger et à les identifier afin de mettre fin à leurs actions criminelles.

Les logiciels pirates et les contrefaçons

Il faut également citer la copie piratage de logiciels et la contrefaçon qui touchent aujourd'hui tous les produits, du meilleur marché au plus luxueux, du plus simple au plus complexe : non seulement les logiciels sont concernés mais également les jouets, les CD, les Blu-Ray, les parfums, la maroquinerie, l'électroménager, la petite électronique, les automobiles et leurs accessoires, et même les aliments qui peuvent contenir des produits interdits.

Dans le domaine de l'informatique, les discounters américains (Quality software, Soft Buy, Apps Shop, etc) proposaient encore en 2012 les dernières versions des logiciels phares de Microsoft ou d'Adobe avec une ristourne de... 85% soit à 99$ ttc alors que les revendeurs proposent généralement une ristourne qui ne dépasse pas 18%. Comment le discounter peut-il justifier cette différence de prix avec le produit officiel ? Poser la question est y répondre.

Si l'application fonctionne quelquefois (il y a souvent des options qui ne fonctionnent pas), en aucun cas ce n° de série proposé ne sera reconnu par le fabricant. Si vous achetez ce type de produit, vous ne pourrez donc pas faire valoir votre droit pour obtenir par exemple un upgrade du logiciel. En clair, vous avez acheté une version pirate et participé à ce commerce illicite comme l'explique cet article.

Les fabricants de logiciels ainsi que des particuliers ont porté plainte contre ces discounters qui ont été contraints de fermer leur site web. Ce qui prouve bien qu'il s'agissait d'un commerce parallèle illégal. Un homme averti en vaut deux.

La même problématique se pose sur les réseaux sociaux dont YouTube où de nombreuses vidéos expliquent comment craquer certains logiciels (voici un exemple de copie écran). Si on ne signale pas ces contenus illicites, les administrateurs du site ne pourront jamais les identifier et les supprimer. En effet, vu sa fréquentation, YouTube enrichit sa vidéothèque d'une heure de vidéo (300 à 800 MB) toutes les secondes et lutter manuellement contre cette cybercriminalité devient un défi.

Arnaque et société fantôme sur le web

L'internaute peut aussi être escroqué quand il achète un article sur Internet. Le site Sale Telescopes est un cas d'école à dénoncer et surtout à éviter.

Ce site propose soi-disant depuis 2013 des lunettes et des télescopes des plus grands fabricants, y compris des télescopes solaires, des longues-vues, des ordinateurs portables et des tablettes à prix cassé. Sa devanture web a de quoi faire pâlir les plus grands revendeurs.

Sale Telescopes propose par exemple un télescope Questar 3.5 neuf à 2000 € plus frais et prétend le livrer en 1 mois. Même délai record pour une lunette Astro-Physics ou Takahashi !

Or il faut savoir que le prix officiel de ce petit Questar est deux fois supérieur et peut même atteindre 10000 € selon les options comme le confirme le dealer officiel allemand APM Telescopes. Que cache ce prix bradé ?

Le site Sale Telescopes prétend vous vendre des instruments de grands constructeurs (Astro-Physics, Questar, Takahashi, Swarovski, etc) à moitié prix et les livrer en 1 mois alors qu'ils ne sont même pas disponibles chez le fabricant ! Attention à l'arnaque !

Une recherche rapide sur Internet indique que l'offre de Sale Telescopes est probablement une arnaque comme l'explique des lecteurs de Cloudy Nights car au moins un client s'est fait arnaqué ainsi que l'explique une victime de cet escroc sur le forum Ice In Space.

Sale Telescopes est installé à Jakarta, en Indonésie mais appartiendrait à un Australien. Le compte bancaire de cette pseudo société est au nom d'un certain Putra Jaya.

Après renseignement auprès des fabricants (Astro-Physics, Astro-Tech, Alluna Optics, Questar, etc) ce soi-disant revendeur n'est le représentant officiel d'aucune de ces marques dont il propose pourtant les produits.

Les modèles annoncés en stock n'existent pas car les fabricants eux-mêmes sont obligés de mettre leurs clients sur liste d'attente parfois durant un an et demi ! D'un point vue légal la publicité de Sale Telescopes est donc mensongère et en Europe un tel site serait déjà fermé.

De plus ce vendeur ne répond pas aux demandes de renseignements. Cela signifie que vous ne pouvez pas communiquer et ne vous attendez pas à recevoir du support de sa part.

Autre bizarrerie, il n'accepte que les virements bancaires, ce qui exclut tout remboursement ou garantie comme cela existe lorsqu'on paye par carte de crédit sur Amazon, ebay ou AbeBooks par exemple.

Quand on simule une commande sur ce site, on constate que la page n'est même pas sécurisée; elle est simplement écrite en php !

Pour confirmer cette arnaque, un amateur vivant à Bali a appelé leur numéro de téléphone et obtenu quelqu'un qui ne connaissait rien aux télescopes et ne connaissait pas l'entreprise Sale Telescopes. Il s'est rendu sur place et nota que le pseudo marchand était localisé dans le building Gramedia mais qui n'abritait... qu'une librairie !

On peut craindre qu'en enregistrant un compte et en commandant du matériel sur ce site, votre argent sera perdu sans possibilité de recours ! En cas de litige, votre banque ne vous remboursera pas et le BEUC ne pourra que constater l'arnaque.

Quand on sait que l'Indonésie compte parmi les pays où la fraude est la plus répandue, vous avez tout compris ! En cas de litige ce sont ses preuves contre les vôtres dans une juridiction asiatique qui ne lutte pas contre la cybercriminalité...

Moralité, de manière générale des prix cassés doivent vous mettre en alerte. Une offre sous le prix du marché est généralement suspecte et ce ne sont pas les pseudo conditions de vente, les procédures de recours et de retour affichées sur une page web qui vous garantissent la bonne foi du vendeur mais sa réputation !

La sensibilisation du public

L'exemple de l'achat d'un logiciel piraté ou d'un produit de contrefaçon en ligne participe au développement d'un marché parallèle illégal. Il ne rend service à personne. Certainement pas au fabricant qui voit une baisse de son chiffre d'affaires ni au client qui la plupart du temps achète un produit dénaturé qui n'a pas les spécifications ou les caractéristiques du produit officiel.

Dans le cas des logiciels, les versions pirates peuvent être buguées quand elles ne contiennent pas sciemment des virus ! Le matériel informatique ou électronique pirate contient généralement des pièces de mauvaise qualité, le produit fini n'est pas contrôlé et passe les frontières sans autorisation, autant de sources d'ennuis potentiels pour l'acheteur, de malfonctions, de pannes voire même d'accident (électrocution, incendie des prises de courant, fonte des batteries, etc), sans parler des aliments qui peuvent induire des effets indésirables.

Bref, en évitant ce marché pirate non seulement vous évitez des problèmes potentiels mais vous allez réduire la demande en espérant que les pirates et autres escrocs passeront à une autre activité.

Concernant les virus et autres risques informatiques, installer des options de sécurité ne sont pas suffisantes pour protéger un système contre les actions malveillantes.

Environ 30% des protections informatiques peuvent être installées du côté matériel ou logiciel et assurent une parfaite protection lors de l'identification, l'authentification et l'autorisation d'accès des utilisateurs sur les différents réseaux voire même à domicile si les parents travaillent sur des dossiers confidentiels (à ne pas faire!).

Mais 70% de la protection touche la sensibilisation des utilisateurs sur la sécurité informatique. Par utilisateur on entend tout personne y compris les consultants extrnes, travaillant dans la société et ayant accès aux systèmes informatiques, soit depuis son bureau soit à distance.

Pour qu'une entreprise fonctionne sans aléa d'un point de vue informatique, il faut que tous les acteurs aient conscience des risques qu'ils font courir à la société s'ils offrent un point d'entrée aux pirates informatiques et aux personnes peu scrupuleuses. Une telle faille ou une telle attitude peut affecter durablement la réputation d'une société et lui coûter énormément d'argent lorsque l'information est rendue publique (ce fut notamment le cas de sociétés financières internationales qui à partir d'une erreur ou d'une fraude de quelques centaines de millions de dollars finirent pas perdre des milliards de dollars). Certaines d'entre elles ont été ruinées.

Les employés doivent donc revoir leur attitude au travail comme les managers et la direction doivent revoir leurs stratégies s'ils veulent s'aligner à égal avec les pirates informatiques et les fraudeurs qui ne leur feront pas de cadeau en cas d'intrusion ou de vol pour ne citer que deux actions très communes.

Si la fraude dépend essentiellement des individus et de la culture d'entreprise (cf. le scandale de Goldman Sachs dans le secteur financier en 2008), en informatique, il existe des parades bien concrètes et contrôlables.

Comme à l'époque des guerres héroïques, la défense doit former une carapace impénétrable, un mur infranchissable face à l'ennemi jusqu'à ce que l'intrus abandonne le combat. Mais la vieille stratégie à ses limites. Ainsi que nous l'avons vu à propos des virus et autres "backdoors", il vaut parfois mieux quitter le champ de bataille et éteindre temporairement les serveurs en attendant d'installer une parade, plutôt que de subir une attaque dont on ne se relèvera jamais.

Un exemple très simple vous sensibilisera aux risques informatiques. Vous savez qu'il y a des virus sur Internet. Vous êtes actuellement connectés à Internet. Avez-vous installé un anti-virus sur votre ordinateur pour prévenir toute attaque ? Et est-il à jour ? Si non, vous êtes un maillon faible de la toile étant donné que les virus peuvent se multiplier et se répandre vers d'autres ordinateurs à partir du vôtre. Ce trafic s'effectue à votre insu. Si vous l'avez fait, vous avez été sensibilisé à l'importance des questions de sécurité informatique et on peut remercier d'entraver ainsi l'expansion des virus.

Dans le cas contraire, arrêtez-vous, faites un break et allez tout de suite jeter un oeil chez Kaspersky par exemple dont l'efficacité des solutions anti-virus n'est plus à démontrer ainsi que nous l'avons expliqué.

La sécurité des mots de passe en entreprise

Dans une entreprise, la sécurité des mots de passe est une source potentielle de risque qu'il ne faut surtout pas négliger. Car la personne malveillante qui connaît le mot de passe d'un employé ou d'un administrateur peut facilement consulter, modifier ou supprimer des données confidentielles ou pire, supprimer des données système et bloquer l'activité de tout un département voire de l'entreprise durant quelques heures ou quelques jours. Voyons trois "classiques" du genre.

Combien d'utilisateurs n'ont pas essayé d'utiliser un mot de passe très simple plutôt que de suivre les recommendations de la sécurité informatique qui exigeait un mot de passe fort et alphanumérique, mélangeant lettres minuscules et majuscules, chiffres et caractères spéciaux... Le non respect de cette règle représente la première erreur qui facilite l'intrusion des pirates.

A défaut de se rappeler leurs mots de passe, les utilisateurs les notent sur une feuille conservée dans leur tiroir ou stockée dans le répertoire personnel de leur ordinateur sous le nom de "password.txt" ou "pwd.doc"... Deuxième erreur car ce sont les endroits et les mots-clés qu'un pirate va automatiquement chercher en premier lieu.

Enfin, certains employés y compris des administrateurs laissent parfois leur session active sans mot de passe alors qu'ils font une pause ou lorsqu'ils sont interpellés dans un couloir sans avoir pris soin de bloquer leur session. La conséquence fut que dans l'intervalle un collègue envoya un émail depuis cet ordinateur disant que son propriétaire offrait des croissants à tout le monde et l'affaire n'alla pas plus loin. Mais imaginez qu'un employé malveillant ait utilisé cet ordinateur...

Espionnage dans un data center. Document Gorodenkoff/Lombry.

La sécurité et la confidentialité des données commence par la responsabilité de chacun d'entre nous.

La situation est beaucoup plus risquée quand elle concerne les comptes des administateurs systèmes et de bases de données qui disposent d'accès privilégiés (High Privilege Account). En pratique, on constate que la sécurité de leurs mots de passe et leur contrôle ne sont pas toujours garantis, un constat qui peut donner des sueurs froides au directeur informatique.

Aussi, face à la désinvolture de certains utilisateurs ou leur irresponsabilité, pour éviter tout acte malveillant l'entreprise doit mettre en place des stratégies et des systèmes de contrôle d'accès. Cela commence par un programme de sensibilisation de tout le personnel à la sécurité informatique.

Ensuite, il faut mettre en place un système de gestion efficace des mots de passe (généralement un système combinant un outil de contrôle d'accès et une base de données) faisant notamment appel à des algorithmes de création de mots de passe aléatoires, encryptés et dupliqués automatiquement sur des systèmes redondants situés en d'autre lieu physique et dont l'accès est réservé à une poignée de personnes dont l'activité sur les systèmes est tracée et surveillée.

Pour éviter tout acte malveillant ou risque potentiel de la part d'un administrateur système ou de bases de données à partir de la console d'administration sur laquelle il travaille, le cas échéant il faut également supprimer l'accès à Internet, la messagerie électronique et l'accès aux ports externes (USB, lecteur CD/DVD, SD et autre Wi-Fi) de cet ordinateur. Il faut également veiller à sécuriser le segment de réseau entre la console d'administration et le système de gestion des accès privilégiés en installant un firewall qui limite les voies d'accès au seul protocole et port nécessaires à l'activité (par exemple uniquement autoriser TCP/IP sur le port 443).

Suite à quelques fraudes de grandes envergures qui ont coûté des centaines de millions d'euros et atteint à la réputation de grandes entreprises (certaines banques ont mis près de 15 ans pour s'en remettre !) aujourd'hui, dans les grandes sociétés, tout le personnel est sensibilisé à cette problématique et la direction semble résolue à combattre la cybercriminalité de manière proactive en y mettant tous les moyens nécessaires : personnel expert en gestion de risque, sécurité informatique et autre audit IT qui se concrétisent par des stratégies, des règles à respecter, des contrôles et revues périodiques et la mise en place de divers systèmes afin de réduire les risques de fraude, d'intrusion et autre désastre (utilisation de carte d'entrée magnétique, zone DMZ, firewall, single sign-on, serveur d'authentification, encryption, sécurité étendue sur les fichiers, gestion des mots de passe, traçabilité, BCP, etc). Cela se paye très cher en terme d'infrastructure, mais c'est le prix à payer pour être à l'abri des sinistres informatiques et préserver sa réputation.

A consulter : Security CheckUp, Checkpoint

Example of Security Check Report, Checkpoint

L'Internet des objets, le paradis des pirates

Après les réseaux sociaux, "l'Internet des objets" ou "IoT" (Internet of Things) prend de plus en plus d'importance : moyennant une mini caméra ou un émetteur GPS, grâce au réseau cellulaire ou Internet nous pouvons savoir en permanence où se trouve une personne, un animal ou un véhicule et même surveiller l'endroit où il se trouve.

Déjà aujourd'hui les nouveaux modèles de voiture, d'ordinateur, de TV, de frigo, d'APN, demain notre cuisinière, notre radio digitales et notre chaudière seront reliés à Internet et communiqueront avec le service après-vente du fabricant.

Selon une étude du cabinet Gartner, en 2009 il y avait 2.5 milliards d'objets connectés dans le monde. En 2013, on en dénombrait 9 milliards. Selon Statista, il y avait 15.9 milliards d'appareils connectés en 2023. En 2024, les smartphones représentaient 6.84 milliards du total. On devrait dépasser 32 milliards d'appareils connectés en 2030 (Cisco était plus optimistes, prédisant plus de 50 milliards d'objets connectés vers 2020 tandis que les analystes du cabinet IDC prévoyaient jusqu'à 212 milliards d'appareils connectés en 2020). Un tel parc informatique est une mine d'or pour les hackers !

Comme aujourd'hui notre compte bancaire, dans certains pays les dossiers d'assurances et médicaux sont consultables à distance à travers des liaisons sécurisées. C'est tout le concept de communication et de liberté à l'ère numérique qui doit être remis en question. La sécurité informatique doit tenir ses promesses.

Un jour que connaîtront sans doute nos petits-enfants, on apprendra à l'école comment se prémunir du piratage informatique et comment localiser un ordinateur sur le web. Ce jour là l'essentiel des services de police et de la sûreté seront constitués d'informaticiens experts en intrusion dans le cyberespace. Une nouvelle révolution s'amorce dont nous avons encore du mal à imaginer les conséquences.

Internet : une liberté inconditionnelle chère payée

Une caméra de surveillance. De nos jours, ce genre d'appareil est connecté et les données accessibles par Internet. Les vidéos peuvent également servir à l'apprentissage profond des IA. Document T.Lombry.

S'il y a autant de risques à surfer sur le web, pourquoi me direz-vous, ne contrôle-t-on pas plus Internet ?

Internet restera encore longtemps en dehors de tout contrôle car depuis que le gouvernement américain a ouvert ARPANET aux universités puis à un public d'experts et que le CERN permit le développement du web (qui fêta ses 25 ans en 2014), Internet est devenu un espace de liberté sans frontière. Mais en parallèle, son architecture est devenue difficile à contrôler à l'heure du Wi-Fi et des connexions anonymes sans parler de l'accès pratiquement impossible aux données cryptées sur les réseaux VPN et autre Tor ou Riffle. Pour preuve, Internet a déjà participé à des renversements politiques et même en Chine il est possible de contourner la censure en utilisant des logiciels d'anonymisation comme Psiphon.

De plus en démocratie on voit mal censurer Internet (par le biais des fournisseurs d'accès et des comptes gérés par les administrateurs de réseaux sociaux et forums), quoique l'idée est déjà venue à l'esprit des autorités américaines, anglaises et même françaises.

En fait, à côté du problème culturel d’Internet, il y a une question économique : actuellement personne ne paye ce service. Dans notre monde occidental capitaliste, il n’y a que deux solutions à long terme : soit la publicité payera Internet soit les utilisateurs par le biais de leur abonnement à Internet.

Actuellement, la société mise surtout sur le premier grâce à l'aide des cookies notamment sans pour autant oublier de facturer les utilisateurs lorsqu'il s'agit de services à valeur ajoutée.

Autre problème, ceux qui utilisent Internet ne sont pas nécessairement ceux qui l’alimentent, et en général utilisateur et développeur ne communiquent pas l’un avec l’autre. C’est l’un des nombreux aspects qu’une future réglementation devra tenir compte sans pour autant pénaliser la liberté d'expression.

Le point négatif de cette liberté sur Internet est le fait qu’il n’y a aucun système de contrôle, d’où la prolifération des virus, du piratage informatique et autre attaques "Denied of Service". Un minimum de règles seraient les bienvenues si les autorités désirent savoir qui utilise Internet, dans le but par exemple de pister la cybercriminalité et tous les actes délictuels (actes malicieux, terrorisme, pédophilie, prostitution déguisée, etc).

De nos jours, l’offre fournie sur Internet s’étend donc loin devant les moyens et la puissance de la législation. Même la simple violation des droits d'auteurs est une tâche très difficile à appréhender sur Internet.

Voilà en quelques mots ce qui vous attend si vous surfez sur Internet... Mais pas de panique ! Des milliards de personnes surfent sans inquiétude sur le web. Comme d'autres maladies de civilisation, vous savez dorénavant quoi faire : sortez couvert !

Soyez responsables et surfez en paix.

Pour plus d'informations

Sur ce site

Internet pour le meilleur et pour le pire

Prévention du piratage informatique

Le Darknet

Le respect des droits dans la société de l'information

Du satellite espion à Echelon

Les sites de ventes en ligne : attention aux arnaques (sur le blog)

Attention au harcèlement informatique (sur le blog)

Anti-virus, anti-spyware, anti-phising

What are anti-virus software programs? (vidéo)