Les Assises de la Sécurité et des systèmes d’informations se sont réunies du 5 au 8 octobre au Grimaldi Forum. L’usage de matériel personnel au travail et la recrudescence de la cyber-criminalité ont dominé les débats.
«Les premiers enfants qui ont grandi avec Internet viennent d’être diplômés dans les universités. » A la parole de Florian Malecki, responsable marketing Europe de Dell Sonicwall, s’ajoute l’image?: une fresque d’Internet qui débute en 1989 avec le lancement d’AOL. Vingt-trois ans plus tard, la Toile a envahi tous les supports, qu’il s’agisse de téléphones, smartphones, tablettes ou autres. Une invasion qui s’est accompagnée du développement d’une nouvelle pratique baptisée BYOD pour Bring Your Own Devices (littéralement, apportez vos propres appareils). Cet acronyme résume le fait d’utiliser son matériel personnel (smartphones, ordinateurs, tablettes) pour son travail, incluant une connexion de ces outils au réseau interne de l’entreprise qui nous emploie. La pratique permet ainsi de travailler depuis n’importe où, n’importe quand, en ayant toutes les données nécessaires à portée de main. Phénomène en pleine expansion, le BYOD a été abordé dans la majorité des conférences des Assises de la sécurité et des systèmes d’informations au Grimaldi Forum. Avec une interrogation majeure?: comment sécuriser les données des travailleurs qui s’adonnent à cette pratique et par extension, celles des réseaux auxquels ils sont connectés?? « L’environnement actuel est très ouvert, comparable au Wild Wild West. Avant, il était possible de tout contrôler. Aujourd’hui, on ne contrôle plus rien », prévient Florian Malecki. Dell Sonicwall a mené une étude auprès de ses utilisateurs. Il en ressort que 80 % des personnes interrogées utilisent leur smartphone pour travailler. Le fait de lire ses mails professionnels et d’y répondre à partir de son portable est considéré ici comme du travail. « Il faut définir précisément le besoin des utilisateurs pour éviter que des failles puissent être exploitées », suggère Florian Malecki.
Flou juridique
Beaucoup de sociétés hésitent encore à franchir le pas car l’aspect légal de la pratique demeure flou. Le fait d’être connecté au réseau interne de son entreprise via, par exemple, son smartphone peut permettre à l’administrateur de ce réseau d’aller fouiller l’appareil. « La sécurité du BYOD n’est pas à ce stade satisfaisant », affirme même Mathieu Renard, qui dirige une équipe menant des tests d’intrusion au Centre européen d’expertise sécurité de Sogeti (ESEC). Selon lui, « des codes PIN de quatre caractères peuvent être récupérés en moins de 20 minutes par un pirate », conseillant un code plus long pour protéger son téléphone. L’envers du décor, Julien Sobrier, chercheur sécurité chez Zscaler, l’a décrypté. « On ne peut pas se fier à la réputation d’un site, ni à celle d’un antivirus », explique-t-il. Pour vous leurrer, les pirates peuvent utiliser des fausses pages réalisées à partir des tendances de recherche sur Google et, du coup, bien référencées par le moteur de recherche. Un clic sur la page et l’on vous redirige vers un site malicieux prêt à récolter vos données. La plupart des pirates utilisent aussi des kits d’exploits. Autrement dit, des programmes qui permettent d’exploiter les failles de sécurité informatique contenues dans un système ou dans un logiciel. « Blackhole (trou noir en français) est le kit d’exploit le plus connu. Il représente cent millions de sites infectés par an. Sa structure se modifie continuellement pour avoir toujours un coup d’avance sur les antivirus les plus fiables », indique Julien Sobrier. Le meilleur moyen de contrer une attaque reste de mettre ses appareils à jour.
Cyber-attaque et activisme
Les menaces sur Internet se multiplient à très grande vitesse. « En trois ans, avec l’essor des tablettes et des smartphones, leur nombre est passé de 3 millions à 80 millions », alerte David DeWalt, l’ancien patron de la société McAfee, de l’antivirus du même nom. L’Américain, qui navigue depuis vingt-six ans dans le domaine du high-tech et de la cyber sécurité, a été nommé par Barack Obama à la tête du comité national de conseil sur la sécurité des télécommunications (NSTAC) en 2011. Il est aujourd’hui président du conseil d’administration de FireEye, qui lutte contre la cyber-criminalité et le cyber-espionnage. S’il estime que l’industrie high-tech vit sa « période la plus excitante », la sécurité devient pour lui « impossible ». En face, les « ennemis » redoublent comme les groupes d’activistes à l’instar des Anonymous ou encore l’organisation Wikileaks. Jean-Christophe Rufin, membre de l’Académie Française, écrivain et ancien vice-président de Médecins sans frontières, établit un parallèle entre eux et les milices qui opéraient lors de la guerre froide pour l’un ou l’autre des deux camps. « Ces petits groupes à finalité violente sont une évolution de ceux créés pendant la guerre froide. Ils menaient des guerres de basse intensité et étaient utilisés pour aller titiller le voisin sans risquer une conflagration générale », observe-t-il. « La perte du contrôle exercé sur ces groupes violents, survenue après la chute du régime soviétique, a conduit à leur autonomisation. Ils ne sont plus territorialisés. Avant la violence s’exerçait dans un territoire, pour la conquête de ce territoire. La création d’Al-Qaïda a été le point de passage d’une lutte locale à une lutte à but mondial, avec l’ambition d’aller attaquer l’ennemi lointain », poursuit Rufin.
Cependant, les Anonymous & co n’apparaissent pas ou peu comme une menace aux yeux du grand public. « Wikileaks n’est pas sans rapport avec Médecins sans frontières. C’est un mouvement de révolte de citoyen contre l’Etat, de mise en œuvre de la justice contre le droit. Au début, à MSF, nous étions les gentils mais rappelons que nous avons été le supplétif de ces petits mouvements qui se battaient pour l’Amérique. Chez Wikileaks et les Anonymous, il y a cette volonté de redresser les torts de l’Etat. Ce qui rend ces groupes difficiles à contrer, c’est la sympathie qu’ils suscitent par leur côté Robin des Bois. Comme ils n’ont pas de tête, c’est difficile de savoir vers quoi ils vont tendre. Une criminalité désorganisée est plus dangereuse qu’une criminalité organisée », analyse Jean-Christophe Rufin.
Les nations, elles aussi, font face aux cyber-attaques. Le service informatique de l’Elysée a lui-même été mis à mal durant l’entre-deux tours de la présidentielle en mai dernier. Pour Jean-Marie Bockel, sénateur français et auteur d’un rapport sur le sujet, la cyberdéfense est un « enjeu majeur ». Il invite le gouvernement à l’ériger en « priorité nationale » et recommande dans son rapport de ne pas faire appel aux technologies chinoises au sein des réseaux de communication pour éviter le cyber-espionnage de la Chine. Car si elles font l’objet d’attaques, les nations trouvent également leur compte avec ce procédé. L’exemple le plus récent demeure celui des virus Stuxnet et Flame, créés par les Etats-Unis et Israël, pour parasiter le programme nucléaire iranien. Les Assises se sont à peine refermées qu’une cyber-attaque de vaste ampleur, visant une trentaine d’établissements financiers américains, est annoncée pour l’automne dans le but de piller des comptes bancaires. Une dernière statistique permet de comprendre l’enjeu d’un Internet sécurisé. Selon David DeWalt, 50 milliards d’appareils et 4 milliards d’humains y sont connectés.
