Ordinateurs et sécurité:
à quand la protection totale ?
Professionnalisation et rapprochement des différentes activités liées au piratage limitent la marge de manœuvre du particulier.
Olivier Wiener (*)
Votre anti-virus est mis à jour toutes les 3 heures. Vous scannez régulièrement vos disques durs à la recherche de ces programmes qui vous causent tant de soucis. Et, vous vous croyez à l’abri ? Détrompez-vous ! Même en effectuant ces deux opérations de manière très régulière, vous n’êtes pas protégés pour autant. Les pirates informatiques sont aux aguets, à la recherche de la moindre faille. Celui qui veut pénétrer vos secrets peut utiliser plusieurs méthodes. Une de ces techniques consiste par exemple à vous envoyer un «ver» par email. Si ce logiciel est connu et référencé par votre anti-virus, pas de problème ; si ce n’est pas le cas, les ennuis commencent assez vite …
Avec un peu de chance, et s’il est correctement installé, votre pare-feu ou anti-virus détecte un programme inconnu et dangereux lorsqu’il tente de faire sortir des données vers Internet, en général votre carnet d’adresse. Il est alors relativement facile de le bloquer et de nettoyer votre cher ordinateur. Malheureusement, la plupart du temps, vous ne vous rendez simplement compte de rien. Un bon pirate ne laisse en effet que rarement des traces de ses activités, et essaie généralement de rester le plus discret possible.
Du piratage à l’espionnage,
il n’y a qu’un pas…
A part le défi technique, prendre le contrôle d’un ordinateur à distance, effacer des données ou effectuer des calculs nécessitant des processeurs puissants, sont des activités certainement moins intéressantes que de collecter des informations sensibles, des mots de passe ou le résumé de vos habitudes et intérêts sur des thèmes donnés. Ces informations ont une valeur, et une valeur substantielle même ! Ainsi d’énormes intérêts et moyens motivent les pirates puisque certaines sociétés sont prêtes à payer cher pour ce genre d’information.
En plus, les liens qui unissent «hackers» et «spammers» ont été démontrés, notamment par la société Sophos. Les attaques des uns profitent aux autres, et ceux-ci peuvent ensuite, par effet ricochet, inonder de «pourriels» (courriers non désirés, ou spam) des millions d’adresses email. Lorsque l’on sait que les « meilleurs » spammers gagnent entre 400.000 et 600.000 dollars par mois, ce n’est pas étonnant qu’ils aient les moyens de financer quelques pirates… Selon ZDNet, un marché existe même dans ce domaine : la valeur actuelle d’un ordinateur piraté est de 5 cents.
Les outils indépendants sont plus efficaces
Heureusement, quelques outils sont disponibles pour se protéger. Un bon anti-virus et un bon pare-feu, vous l’aurez compris, ne suffisent plus. Il faut installer également de bons outils contre les logiciels espions, sans oublier un filtre anti-spam efficace. De manière générale, préférez les outils spécialisés (et indépendants) aux solutions «tout en un» qui peinent à démontrer leur efficacité. Bien entendu, ces logiciels sont mis à jour de manière régulière. Et en cas de doute, utiliser son bon sens, en se posant la question: « Transposée au monde réel, est-ce que cette démarche paraîtrait suspecte ? »
Les plus grosses failles d’un système informatique ne résident souvent pas dans la technique, mais plutôt dans le comportement de ses utilisateurs. Les pirates ont compris qu’il était bien plus facile de s’appuyer sur certaines faiblesses de l’âme : naïveté, avidité ou curiosité par exemple. En effet, quel chef d’entreprise résisterait à la tentation de visiter le site d’un client potentiel (site qui contiendrait bien entendu un ver), et quel employé ne serait pas intéressé par une promotion exceptionnelle, surtout si celle-ci lui a été transmise par le chef du personnel (un faux, bien entendu) ? C’est souvent par email que débute ce type d’attaque. Ensuite, le simple fait de répondre, d’ouvrir la pièce jointe, ou de visiter le site enclenche la démarche… La parade réside donc aussi dans la prévention, l’information et la formation. Sensibilisés au risque, patrons et employés sont en effet bien mieux armés pour lutter contre ce fléau.
Entre paranoïa et schizophrénie
A l’heure actuelle, il semble bien que l’industrie informatique ne propose que deux choix : la paranoïa ou la schizophrénie. Pour ceux qui choisissent le premier, croisement des informations, double vérification, mises à jour systématiques des outils de protections, et contrôles réguliers des machines sont le lot quotidien. Pour les seconds, la séparation physique des machines connectées à Internet devient inévitable, ainsi que son cortège de conséquences négatives : travaux à double, mises à jour rendues difficiles voire impossibles, transfert de données entre postes de travails laborieux, etc. Dans les deux cas, une procédure de sauvegarde rigoureuse des données est nécessaire pour contrer les effets extrêmes d’une attaque – mais nous entrons ici dans un autre débat.
On le voit bien, la situation actuelle est inquiétante. Or seule une véritable volonté (et donc des moyens) au niveau international pourrait enrayer ce phénomène, ce qui est, visiblement et malheureusement, pas prêt de se produire dans l’immédiat.
3 questions à Cédric Renouard, chef de projet auprès d'Ilion, société basée à Genève, crée en 2002 et spécialisée dans la maîtrise des risques criminels (piratage informatique, criminalité financière, intrusion physique). Elle compte parmis ses clients de nombreuses banques et sociétés financières d'envergure internationale.
Pour une PME ou une multinationale, quels sont les types de risques que vous intégrez dans votre démarche ?
Il n’est plus suffisant aujourd’hui de ne se prémunir que contre les dangers purement techniques. En effet, le patrimoine de l’entreprise est menacé par un ensemble de risques variés et complexes. Pour les contrer efficacement, il convient de bénéficier d’excellentes connaissances sur les méthodes des pirates professionnels. Mais il est également indispensable d’inscrire la prévention dans un contexte global et de comprendre les mécanismes de fraude financière ainsi que les faiblesses liées aux atteintes à la propriété.
Pourquoi, par exemple, surprotéger son réseau informatique, s’il est facile de s’introduire physiquement dans le bâtiment et de dérober un ordinateur portable sur un bureau ? Cela correspondrait en fait à prévoir une porte blindée tout en laissant ses fenêtres grandes ouvertes !
Et ensuite?
Pour prévenir efficacement toute atteinte au patrimoine informationnel d’un client, nous commençons toujours par évaluer ses exigences en sécurité, de manière à déterminer l’instant à partir duquel une attaque n’est plus rentable. Pour chaque faille découverte, nous sommes ainsi capables d’évaluer précisément son risque financier propre, et de formuler les solutions les mieux adaptées pour corriger les carences mises en évidence.
Par exemple, si une effraction à votre domicile vous causerait un préjudice maximum de 3 millions, et que la probabilité d’être cambriolé est de 10%, alors vos dispositifs et services de sécurité ne doivent pas coûter plus que 300'000 francs. Bien entendu, les processus de maîtrise du risque se doivent d’être constamment adaptés et optimisés, en fonction des nouvelles techniques criminelles sans cesse imaginées. De surcroît, une fois que le risque d’atteinte au patrimoine informationnel est réduit à un niveau résiduel, nous sommes capables de le faire couvrir par une police d’assurance – dont la prime dépend naturellement de la maîtrise du risque déjà acquise.
Qui sont les pirates aujourd’hui ?
Le niveau de complexité technique, la connaissance des procédures internes des sociétés ciblées, et le type de préjudices subis (extorsion, chantage, détournements, etc.) constituent autant de preuves évidentes d’une maîtrise de cette activité par le crime organisé. Pour ce qui est de la haute criminalité, la récente intrusion dans un établissement bancaire d’envergure internationale pour détourner un montant de 500 millions de dollars est un signe inquiétant, qui montre l’ampleur et les enjeux de cette thématique. D’autant que cette tentative n’a échoué, visiblement, que par méconnaissance de certains mécanismes non liés directement à la sécurité informatique, comme les contrôles anti-blanchiment.
Ressources
Sécurité informatique:
http://www.ilionsecurity.ch
Anti-virus :
Kaspersky
PC-cillin Internet Security 2005
F-Secure Internet Security 2005
Spyware:
Spying on the spyware makers
Anti-Spyware:
Ad-aware Standard Edition Personal
Spybot Search and Destroy
Spyware blaster
Firewalls:
Zonealarm
Anti-spam
Spam Inspector
Liens entre hackers et spammers:
http://www.sophos.com/spaminfo/whitepapers/
Salaire des spammers
http://writ.news.findlaw.com/ramasastry/20041215.html
Valeur d’un PC hacké
http://news.zdnet.com/2100-1009_22-5729426.html
(*) Fondateur de C2SP, Genève, www.c2sp.com.
Retrouvez chaque mois cette rubrique consacrée à l’évolution de l’informatique et d’internet.
Cet article a été publié en partie dans le quotidien suisse « L’Agefi », le mercredi 14 juin 2005.
Site internet : www.agefi.ch
|
