Source Paris-Normandie
Si vis pacem, para bellum. L’adage remit au goût du jour donnerait plutôt : Si tu veux la paix, prépare la cyberguerre. La France défriche le domaine des données libres (open data, avec les lois Macron et Lemaire) dans un mouvement mondial de partage d’informations publiques numériques. Mais bien que les récents attentats semblent changer la donne, le pays.fr est plutôt à la traîne concernant la sécurité informatique.
Des petits inconvénients (spams, ralentissements…) aux escroqueries de grande ampleur, cette cyberdélinquance en plein essor prend différentes formes. Le mois dernier, c’est carrément le site de l’organisme français chargé de lutter contre ce fléau (l’Agence nationale de la sécurité des systèmes d’information, Anssi, qui a vu depuis sa création en 2008 ses effectifs multipliés par cinq) qui a été piraté par les fameux Anonymous en raison « des abus perpétrés par les autorités françaises dans le cadre de l’état d’urgence ». Trois d’entre eux ont été condamnés mardi pour avoir mis en ligne les coordonnées de cinq cents policiers, mais les plus célèbres des hackersluttent aussi en ligne contre Daech, sabotant leurs comptes de réseaux sociaux ou piratant leurs portefeuilles électroniques.
C’est toute la dualité du hacking, qui participe à la fois aux révélations de Wikileaks ou aux « printemps arabes » comme à l’extorsion en ligne. Cette activité fort lucrative a ses tendances. Le ransomware est à la mode. Locky a ainsi beaucoup fait parler de lui ces dernières semaines. Ce rançongicielbloque complètement la machine qu’il a infectée via la pièce jointe d’un mail et il faut payer une rançon pour (espérer) retrouver le contrôle de son ordinateur.
Face à ces menaces, il y a un nombre croissant d’acteurs français. Anssi, mais aussi Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), Centre de lutte contre les criminalités numériques (C3N), Brigade d’enquête sur les fraudes aux technologies de l’information (Befti). Police et gendarmerie possèdent maintenant leurs services dédiés et il existe même depuis mai dernier un préfet« en charge de la lutte contre les cybermenaces ».
Dans la région, la Direction générale de la sécurité intérieure (DGSI) forme le personnel de secteurs sensibles comme les centrales nucléaires. Des événements plus grand public, associatifs mais orientés business, se multiplient. La 3e édition de la journée Normande de la sécurité numérique organisée par NetSecure Day a eu lieu en décembre dernier. Normandie Web Xperts organise régulièrement des formations à la sécurité. Le club TIC, qui regroupe l’ensemble des acteurs de la filière en Normandie, organise dans le cadre de Normandigital une rencontre le 31 mars à la CCI de Rouen, dont un des thèmes est Cybersécurité : maîtrisez vos angoisses.
Et puis il y a ceux qui dénoncent une forme de « hacking légal », celui du «pillage des données personnelles par les big brothers », ces grands opérateurs du web qu’on appelle parfois GAFA (M) (Google, Apple, Facebook, Amazon, et parfois Microsoft), ceux « qui voudraient s’approprier un réseau par essence libre ».
« REPRENDRE LE CONTRÔLE DE SA VIE »
Dans le cadre de la semaine du logiciel libre, les Rouennais étaient invités lundi dernier à un « grand nettoyage de printemps » à la Cyber-base pour se former aux solutions libres et gratuites qui peuvent remplacer ces poids lourds, dans le cadre de l’opération Dégooglisons Internet de l’association Framasoft. Le collectif Jeanne d’Hack ou l’association Linux Rouen Normandie essaient aussi de faire progresser les idées autour du libre ou de l’enseignement du code à l’école. Richard Stallman, le père des logiciels libres, a récemment appelé les citoyens à « reprendre le contrôle de leur vie en éliminant Facebook pour protéger sa vie privée ».
Dans le secteur qui évolue le plus vite au monde, l’avenir sera de toute façon connecté : 15 % de tous les objets le seront en 2020. Ces nouveaux jouets présentent de nombreuses vulnérabilités et sont le prochain horizon des cyberdélinquants. Le hack de voitures, devenues de véritables ordinateurs sur roues dont il est possible de prendre le contrôle total à distance, devrait exploser. À l’avenir, avant de prendre le volant, il faudra peut-être vérifier que votre voiture est bien à jour…
JOCE HUE
Une certaine hygiène numérique
Sécurité élémentaire. Le dicton « Une chaîne est aussi forte que son plus maillon le plus faible » s’applique à la sécu informatique. La meilleure porte blindée est inutile si les fenêtres sont ouvertes. Par exemple, chiffrer vos e-mails afin d’éviter qu’ils soient interceptés en transit ne protégera pas leur confidentialité si vous stockez une copie non-chiffrée dans votre ordinateur portable et vous faites voler ce dernier.
Mots de passe. Créez des mots de passe forts d’au moins 10, voire 15 caractères. Oubliez « mot de passe1 », « 12345 », ou votre date de naissance. Utilisez un gestionnaire de mots de passe ou l’authentification à double facteur numérique ou physique, en utilisant un téléphone portable ou une clé USB spéciale. Définissez un mot de passe unique pour chaque service grâce à la méthode phonétique (« J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs % E7am) ou à celle des premières lettres (« Allons enfants de la patrie, le jour de gloire est arrivé » : aE2lP, lJ2Géa).
Navigation. Utilisez des navigateurs plus anonymes (Firefox…) et videz l’historique de navigation. Vous pouvez aussi utiliser Tor, le fameux navigateur qui fournit intimité et anonymat en ligne en masquant qui vous êtes et d’où vous vous connectez, pour surfer sur le darknet. Mais dans cette mer agitée où croisent pirates, pédophiles, vendeurs d’armes ou de contrefaçon, trafiquants de drogues et autres faussaires, soyez encore plus prudent et pensez à occulter votre webcam avec du scotch par exemple.
Du bon sens ! Ces règles de bon sens s’appliquent aussi avec son ordiphone, encore moins sécurisé qu’un ordinateur (chaque heure, un banal smartphone échangerait quelque 50 000 informations avec les serveurs de Google). Et, comme dans la vie, posez-vous les bonnes questions (vérifiez l’orthographe d’un mail et son destinataire, le nom de domaine d’un site…) Bref, soyez e-responsable !
Un marché de la cybersécurité en plein boom dans la région
REPORTAGE. Des digital natives qui parlent de « prospé » ou de «cinématique de virus » dans leur openspace. De jeunes hommes de 25 ans en moyenne qui ne quittent jamais leur ordi et s’entraînent après le travail à casser des systèmes de sécurité sur des machines virtuelles appelées sand box (bac à sable). Ingénieurs, mais aussi gamers et geeks assumés (« un peu hackers aussi »), ils sont les salariés de start-up de sécurité informatique, dont beaucoup sont basées à Seine Innopolis près de Rouen et sont parfois aidées financièrement par la Région ou la Métropole.
Le jeune marché en structuration de la sécurité informatique, qui pèse 1,6 milliard d’euros aujourd’hui avec une croissance annuelle de 10 à 20 %, est en effet essentiellement composé de petites entités. Des chefs d’entreprise rouennais à peine trentenaires surfent sur ce succès : « On est sur le haut de la vague. Mais ce n’est pas pour tout le monde. Dans ce business, l’imprévisible reste l’unique constante ! » Nicolas Furstenfeld d’Ace service, (…) a « plein de projets » et embauche à tour de bras. Ils avouent rechercher des oiseaux rares, « des extraterrestres à la fois bons en réseau, en systèmes et en logiciels… Et créatifs, curieux et passionnés avec ça, car le métier évolue sans cesse ! »
Ces jeunes patrons convergent sur beaucoup de points. À commencer par le maillon faible de la chaîne de sécurité, l’utilisateur : « À plus de 80 %, le problème se situe entre la chaise et le clavier ! L’infection d’une machine repose d’abord sur une erreur humaine, comme par exemple ouvrir une pièce jointe ou cliquer sur un lien malveillant ». Plus d’un tiers (34 %) des incidents de sécurité est le fait de salariés de l’entreprise attaquée.
Sur la difficulté de « vendre de la sécurité informatique » ensuite : « C’est compliqué de faire accepter aux entreprises une dépense sans apparent retour sur investissement. Le risque informatique doit être perçu et traité comme le risque juridique ou le risque financier. Antivirus et pare-feu ne suffisent plus, il faut une véritable gouvernance de la sécurité informatique. Mais il faut souvent un élément déclencheur, attaque ou infection, pour en prendre conscience. Du coup, on intervient en mode pompier, ou carrément post-mortem, comme un médecin légiste. Puis après l’accident, on peut réfléchir à travailler sur le fond.
Sur un paradoxe français de cordonnier mal chaussé (« Notre pays est très mal sécurisé malgré d’excellents consultants, qui partent conséquemment à l’étranger ») et enfin sur la vulnérabilité générale : « Personne n’est à l’abri. Même nous, on est visité quotidiennement et on pourrait se faire pirater… »L’association Rouen Normandy Invest qui gère cette pépinière d’entreprises vient d’ailleurs d’être privée de ses ordinateurs pendant plus de deux jours en raison d’un virus…
D’autres entreprises ont un pied dans la région. Déjà cofondateur de Yes We Hack, un portail qui permet de recruter un hacker, Korben, classé troisième personnalité la plus influente sur les réseaux sociaux en France, a présenté en janvier dernier à Rouen sa nouvelle plateforme. Le Bounty Factory est un programme de recherches des vulnérabilités du site web ou des applications mobiles d’une entreprise, qui s’expose volontairement aux attaques de hackers. Ces pentest (tests de pénétration) frappent les esprits dans l’entreprise et permettent aux hackers de se faire un nom, légalement.
Qwant est une sorte « d’anti-Google », la multinationale qui vient d’êtrecondamné à 100 000 € d’amende pour son application jugée trop restrictive du droit à l’oubli. C’est un navigateur open source qui promet de « ne pas tracer les utilisateurs et ne pas filtrer le contenu d’internet ». Chez eux, pas de cookies ni d’historiques de navigation, mais l’anonymat assuré des adresses IP et des requêtes. La start-up est basée notamment à Rouen, où elle dispose d’un laboratoire et de ses propres hackers.
Pour les particuliers, l’offre commence aussi à se développer. Gabriel Viller, trentenaire Havrais, est un « geek socialisé » qui veut réhabiliter le hacking. « Moral et patriote », le fils de pasteur qui se définit comme un hacker éthique propose depuis un an rien de moins que « Louer un Hacker » avec son site éponyme. Mais pour l’instant, 80 % des demandes qu’il reçoit ne concernent pas la défense, mais l’espionnage des comptes des réseaux sociaux des conjoints ! Une forme de tradition dans la modernité…
J.H.
Un univers en expansion
Sommes-nous tous concernés par la cyberdélinquance ?
Franck Auneau : « À partir du moment ou vous possédez un ordinateur ou unsmartphone, potentiellement, oui. Il y a deux types de cyberdélinquants : les véritables hackers qui se criminalisent et les authentiques délinquants qui les utilisent. Vol de données, usurpation d’identité, intrusions sur les réseaux, fraudes aux virements, phishing, déni de service, espionnage industriel, « arnaques africaines », sextorsion, prédateurs… La palette est extrêmement large et n’a de limites que celles de l’imagination des cyberdélinquants. »
Gabriel Viller : « Évidemment, tout le monde est concerné. Si les particuliers font cependant rarement l’objet d’attaques ciblées, ils peuvent toujours tomber dans les filets du phishing (« hameçonnage » par mail visant à récupérer des données personnelles) : plus le filet est grand, plus on attrape de monde. On doit donc agir sur internet comme dans la vie : on n’ouvre pas la porte aux inconnus, on clenche la porte pour vérifier qu’on l’a bien fermée… Mais il ne faut pas non plus être parano. Il est important de dire que le piratage et lehacking sont deux choses distinctes faisant appel aux mêmes champs de connaissances et aux mêmes outils. Les hackers ne sont pas tous des pirates ou des crashers qui veulent tout détruire. Selon l’usage qu’il en fait (légal ou illégal), il sera un hacker éthique (White Hat) ou un pirate (Black Hat). Mêrme si dans la pratique, c’est plutôt gris, car la législation française très restrictive fait qu’on sort forcément à un moment des clous. »
Comment cette cyberdélinquance évolue-t-elle ?
F. A. : « C’est une délinquance classique mise au goût du jour, mais on observe une recrudescence de faits, avec beaucoup de ransomware et de faux ordres de virement en ce moment. Et puis toujours des arnaques classiques, via Le Bon Coin notamment. Ça va très vite et exige des connaissances de plus en plus pointues pour y faire face. Nos enquêtes sont longues et laborieuses. En décembre, après plus d’un an d’investigations, nous avonsappréhendé cinq hommes soupçonnés de se livrer à un vaste trafic de faux chèques et de fausses pièces d’identité via le darknet, la face cachée du Web. Avec un environnement de plus en plus connecté, pour voler un véhicule, les malfrats utilisent désormais un brouilleur de clés ou une fausse carte de démarrage. La prise de diagnostic OBD qui se généralise est aussi une belle porte d’entrée pour les voleurs de véhicules.
Même si l’arsenal législatif progresse, avec la cellule nouvelles technologie, nous sommes obligés de travailler désormais sur le darkweb où tout est anonymisé, ce qui complique la chose. Dans ces métiers d’avenir, nous avons trois niveaux de personnel. Les correspondants N-tech dans les brigades territoriales (35 gendarmes en ex Haute-Normandie sur un millier environ en France) d’abord. Les enquêteurs ensuite (5 dans la région, 260 en France). Puis il y a le C3N du pôle judiciaire, avec une soixantaine de gendarmes hyper-spécialisés auxquels ont fait parfois appel pour des problèmes très pointus. »
G. V. : « L’image du hacker boutonneux qui lance un virus paralysant tous les systèmes de communication a vécu. Désormais, la mafia numérique est spécialisée, organisée, hiérarchisée. De la propagation d’un virus émanant de quelques hackers malveillants, nous sommes aujourd’hui entrés dans l’ère de la destruction provenant de groupes organisés et internationaux.
Un bon pirate est aussi bon psychologue que technicien, pratiquant l’ingénierie sociale et la manipulation mentale. Psychologie, charisme et imagination pour inventer des scénarios sont aussi importants que les connaissances techniques. En cas d’arnaque, il ne faut surtout pas payer et faire le mort : supprimer tous les récents contacts des réseaux sociaux et ne plus rien poster, en espérant que le harceleur se lasse et aille voir ailleurs. »
Vouloir cacher ses données personnelles signifie-t-il qu’on a quelque chose à cacher ?
F. A. : « Aller sur la darkweb, pour nous, c’est déjà louche. La plupart sont mal intentionnés. Et les « petits poissons » qui se sont fait avoir sur le darweb par les gros ne portent évidemment pas plainte… »
G. V. : « Non, on peut juste vouloir se protéger. Pour ma part, je suis persuadé que l’hacktivisme éthique va constituer le futur cinquième pouvoir dans la société. »
de pirates et de mafias
Sommes-nous tous concernés par la cyberdélinquance ?
Franck Auneau : « À partir du moment ou vous possédez un ordinateur ou unsmartphone, potentiellement, oui. Il y a deux types de cyberdélinquants : les véritables hackers qui se criminalisent et les authentiques délinquants qui les utilisent. Vol de données, usurpation d’identité, intrusions sur les réseaux, fraudes aux virements, phishing, déni de service, espionnage industriel, « arnaques africaines », sextorsion, prédateurs… La palette est extrêmement large et n’a de limites que celles de l’imagination des cyberdélinquants. »
Gabriel Viller : « Évidemment, tout le monde est concerné. Si les particuliers font cependant rarement l’objet d’attaques ciblées, ils peuvent toujours tomber dans les filets du phishing (« hameçonnage » par mail visant à récupérer des données personnelles) : plus le filet est grand, plus on attrape de monde. On doit donc agir sur internet comme dans la vie : on n’ouvre pas la porte aux inconnus, on clenche la porte pour vérifier qu’on l’a bien fermée… Mais il ne faut pas non plus être parano. Il est important de dire que le piratage et lehacking sont deux choses distinctes faisant appel aux mêmes champs de connaissances et aux mêmes outils. Les hackers ne sont pas tous des pirates ou des crashers qui veulent tout détruire. Selon l’usage qu’il en fait (légal ou illégal), il sera un hacker éthique (White Hat) ou un pirate (Black Hat). Mêrme si dans la pratique, c’est plutôt gris, car la législation française très restrictive fait qu’on sort forcément à un moment des clous. »
Comment cette cyberdélinquance évolue-t-elle ?
F. A. : « C’est une délinquance classique mise au goût du jour, mais on observe une recrudescence de faits, avec beaucoup de ransomware et de faux ordres de virement en ce moment. Et puis toujours des arnaques classiques, via Le Bon Coin notamment. Ça va très vite et exige des connaissances de plus en plus pointues pour y faire face. Nos enquêtes sont longues et laborieuses. En décembre, après plus d’un an d’investigations, nous avonsappréhendé cinq hommes soupçonnés de se livrer à un vaste trafic de faux chèques et de fausses pièces d’identité via le darknet, la face cachée du Web. Avec un environnement de plus en plus connecté, pour voler un véhicule, les malfrats utilisent désormais un brouilleur de clés ou une fausse carte de démarrage. La prise de diagnostic OBD qui se généralise est aussi une belle porte d’entrée pour les voleurs de véhicules.
Même si l’arsenal législatif progresse, avec la cellule nouvelles technologie, nous sommes obligés de travailler désormais sur le darkweb où tout est anonymisé, ce qui complique la chose. Dans ces métiers d’avenir, nous avons trois niveaux de personnel. Les correspondants N-tech dans les brigades territoriales (35 gendarmes en ex Haute-Normandie sur un millier environ en France) d’abord. Les enquêteurs ensuite (5 dans la région, 260 en France). Puis il y a le C3N du pôle judiciaire, avec une soixantaine de gendarmes hyper-spécialisés auxquels ont fait parfois appel pour des problèmes très pointus. »
G. V. : « L’image du hacker boutonneux qui lance un virus paralysant tous les systèmes de communication a vécu. Désormais, la mafia numérique est spécialisée, organisée, hiérarchisée. De la propagation d’un virus émanant de quelques hackers malveillants, nous sommes aujourd’hui entrés dans l’ère de la destruction provenant de groupes organisés et internationaux.
Un bon pirate est aussi bon psychologue que technicien, pratiquant l’ingénierie sociale et la manipulation mentale. Psychologie, charisme et imagination pour inventer des scénarios sont aussi importants que les connaissances techniques. En cas d’arnaque, il ne faut surtout pas payer et faire le mort : supprimer tous les récents contacts des réseaux sociaux et ne plus rien poster, en espérant que le harceleur se lasse et aille voir ailleurs. »
Vouloir cacher ses données personnelles signifie-t-il qu’on a quelque chose à cacher ?
F. A. : « Aller sur la darkweb, pour nous, c’est déjà louche. La plupart sont mal intentionnés. Et les « petits poissons » qui se sont fait avoir sur le darweb par les gros ne portent évidemment pas plainte… »
G. V. : « Non, on peut juste vouloir se protéger. Pour ma part, je suis persuadé que l’hacktivisme éthique va constituer le futur cinquième pouvoir dans la société. »