012
PANEL D’EXPERTS SÉCURITÉ
FR.FOKUS-ONLINE.BE
La cyber-sécurité en question!
JEAN-POL BOONE.
VINCENT PITTARD.
OLIVIER BOGAERT.
Co-Fondateur & CEO de la société Inoopa
Fondateur de l’agence « REPUTATION 365 »
Commissaire à la « Computer Crime Unit » Police Fédérale
Quelles sont les données prioritairement visées lors d’une attaque? « Nous subissons des attaques de la part de ‘bots’, c’est-à-dire des systèmes robotisés, presque au quotidien. En général, il n’y a pas un type de donnée particulier visé. Mais tout simplement l’argent. Il s’agit donc plutôt souvent de bloquer nos serveurs en nous demandant de payer une rançon pour les débloquer. C’est exactement ce qui est arrivé à Picanol récemment. Nous n’avons bien entendu jamais payé et nous sommes adressés aux services de police. Finalement, nos serveurs ont été ‘libérés’ sans intervention judiciaire. Une autre attaque, il n’y a pas longtemps, s’est soldée par le vol d’une de nos bases de données, qui n’était heureusement pas sensible. Là aussi, c’est de l’argent que l’on nous demandait en retour. »
« Nous détenons bien entendu beaucoup de données, parfois très confidentielles, au sujet de nos clients. Il est donc vital que celles-ci soient parfaitement sécurisées. Mais même si nous sommes forcément très sensibles à cette problématique, il faut bien admettre que le risque zéro n’existe pas en la matière. J’ai souvent tendance à penser que pour se prémunir d’une attaque, le mail et ses identifiants demeurent les choses les plus importantes à sécuriser. Car c’est avec ces données que le pirate aura accès à tous les réseaux sociaux d’une personne, pourra en usurper l’identité, et donc dérober des données à d’autres gens. »
« Il s’agit souvent de données donnant accès à d’autres données. Je ne serai pas très original en disant que parfois, en matière de piratage de données, le pire ennemi de quelqu’un est… lui-même! Car certaines personnes laissent passer beaucoup d’informations personnelles à leur sujet dans la nature. A ce titre, ‘Firefox’ vient de lancer un outil baptisé ‘Monitor’, qui vous prévient si vos comptes en ligne ont été concernés par des fuites de données connues. Si un fournisseur d’accès de cette taille s’attache à la protection des données personnelles de ses utilisateurs, c’est pour une raison simple: celles-ci restent très convoitées par les pirates. »
Quelles sont les failles exploitées et la méthode la plus généralement employée pour l’attaque? « Il n’y a pas de méthode unique, et donc pas de faille unique. Mais, dans notre cas, l’objectif est donc le plus souvent de bloquer nos serveurs. La faille majeure exploitée lors des attaques tient généralement à des mots de passe trop simples. C’est un vrai travail de sensibilisation de nos collaborateurs. En outre, l’outil fourni par Inoopa génère des rapports automatisés, pour évaluer l’intérêt d’une entreprise à se lancer dans l’ecommerce. Ensuite, nous proposons des pistes concrètes pour négocier ce virage numérique. Tout ça pour dire que dans notre business, les données sont de première importance, et qu’il faut donc les protéger au maximum. Car elles constituent ni plus ni moins notre fonds de commerce. »
« Le scope est large, parce qu’il est aussi technique qu’humain. A ce titre, on observe quand-même souvent que l’endroit le plus faiblement sécurisé se trouve entre le clavier et la chaise. C’est-à-dire l’utilisateur. Ce dernier choisit souvent des mots de passe trop simples pour se protéger, voire n’en choisit qu’un seul pour l’accès à tous ses réseaux sociaux. Résultat: quand un pirate connait ce mot de passe, il a accès à tout d’un seul coup. Dans notre business, nous remarquons aussi très souvent que des gens sont attaqués à l’inverse, au niveau de leur réputation. C’est-à-dire avec des données publiques qu’ils ont laissées sur le net. Là, c’est à chacun de choisir où placer son propre curseur ouverture/ fermeture. C’est une bonne base de travail. Car, à partir de là, on saura exactement quoi sécuriser. »
« Il existe ce que nous appelons les ‘attaques par force brute’, c’est-à-dire une tentative visant à craquer un mot de passe ou un nom d’utilisateur, ou encore à trouver une page web cachée, ou la clé utilisée pour chiffrer un message, via un processus d’essais et d’erreurs pour, au bout du compte, espérer deviner juste. C’est une vieille méthode d’attaque, mais elle reste efficace et répandue parmi les pirates. En fonction de la longueur et de la complexité du mot de passe, le craquage peut prendre entre quelques secondes et plusieurs années. En réalité, que certains pirates ciblent les mêmes systèmes chaque jour pendant des mois, et parfois même des années. »
Que peut-on mettre en œuvre pour se sécuriser davantage? « Nous utilisons bien entendu des ‘firewall’ pour nous protéger, de même que des ‘captcha’ sur nos sites. C’est une méthode ancienne, mais qui fonctionne encore assez bien. Par ailleurs, tous nos mots de passe se trouvent sur le Cloud et sont cryptés. De même que nos bases de données, qui font l’objet de droits d’accès. Il existe d’autres moyens de protection, que nous préférons conserver confidentiels pour ne pas éveiller les envies de pirates. Parce que le principe reste que chaque système de sécurité peut se voir attaqué et contourné. Dans cette optique, le mieux est encore de garder secret. »
« Pour nous, en tant que société, nous suivons un principe simple: nous ne stockons les données que si nous en avons besoin. Cette façon d’opérer permet de limiter les vols, puisque le nombre de données est, lui aussi, limité. Par ailleurs, quand on ne trouve rien à propos d’une personne sur le net, c’est la preuve qu’une sécurité a été activée. A l’opposé, avoir des données personnelles qui se baladent dans la nature n’est pas grave en soi, mais il faut pouvoir l’assumer. Je répète que le maillon faible de la sécurité est souvent l’utilisateur. Un simple exemple: lorsque je visite des bureaux, je vois souvent des mots de passe inscrits sur des post-it devant les ordinateurs des gens, car ils ont tendance à les oublier! »
« Les gens sont imprudents, notamment sur les réseaux sociaux. Partant de là, il est facile, pour un pirate, de s’introduire dans le système de quelqu’un via une simple pièce jointe ou un cryptovirus. Il existe donc deux types de protection: la première est évidemment technique, comme le fait de devoir recevoir un sms servant à finaliser une inscription ou une connexion. L’autre type de protection tient, lui, à la communication. Il faut, par exemple, sensibiliser sans cesse les utilisateurs au fait de différencier leurs mots de passe et de les modifier régulièrement. Rien qu’en faisant ça, le niveau de sécurité aura bien évolué! »
TEXTE FRÉDÉRIC VANDECASSERIE
