La malveillance : crakers et hackers

Le 22 juin 2007, le site de la police fédérale belge a été piraté, "défacé" comme on dit dans le jargon, par un hacker qui a mis les experts de la Federal Computer Crime Unit de la police (FCCU) au défi de l'identifier.

Un peu trop sûr de son anonymat et de ses compétences, le cyber-pirate a été arrêté moins de 24 heures après son délit, soit le 23 juin vers 17h, et mis à la disposition du Parquet.

Ce cyber-pirate est belge, connu sous le pseudonyme de SpyNet et habite la banlieue de Bruxelles. Il faisait partie d'un groupe de trois jeunes âgés de 15 à 17 ans comprenant un Français surnommé Wamp et un Suisse dénommé SpY-TecH qui semblait encore sévir sur la toile le 24 juin et les jours suivants tel qu'en témoignent ces échanges de messages.

Les agents de la FCCU les ont identifiés après les avoir questionnés sur le forum de zataz.com et en les traçant sur MS Web Messenger.

Etant mineur, SpyNet n'ira pas en prison mais ses parents étant responsables de ses actes, c'est sa famille qui va devoir supporter les ennuis judiciaires et apprécier la facture. Que ses amis pirates soient prévenus.

Voilà une histoire où la morale est sauve, mais combien d'utilisateurs ne sont pas victimes de cyber-pirates et ne parviennent pas à les identifier faute de moyens...

Selon les statistiques de Nation Master, en 2002 près d'un Belge sur deux surfait sur Internet alors que le support n'existait pratiquement pas il y a 20 ans ! Mais 2.5% d'entre eux seulement disposaient d'un accès à large bande (liaison ADSL ou via le câble TV). Cela signifie que la majorité des utilisateurs utilisaient un modem et leur ligne téléphonique à basse vitesse avec tous les risques de piratage que cette technologie véhicule.

En effet, une étude réalisée en 2004 par Symantec signalait qu'un internaute belge sur trois avait été victime de piratage de sa ligne téléphonique par des programmes malicieux. Actuellement les fournisseurs de service et les administrations des P&T sont incapables d'empêcher ces actions frauduleuses, tout au plus peuvent-ils installer un système anti-spam, anti-phishing, anti-spyware et anti-virus sur le serveur gérant votre ligne téléphonique (celle de votre courrier électronique notamment). Seule une cellule de Veille Internet comme il en existe dans les ministères de l'Economie ou anti-cybercriminalité comme il en existe dans certaines polices peuvent enquêter sur la question, encore faut-il que la victime porte plainte.

Le pirate informatique (cracker ou hacker), souvent gourou en son domaine, se fait un honneur de franchir incognito les zones de sécurité des réseaux les plus sécurisés. Bien sûr en cas d'identification, il risque une peine de prison ferme.

Son but est d'extorquer des informations sensibles à toute personne afin de les utiliser à son propre profit ou de les revendre au plus offrant.

Pour obtenir ses renseignements, le pirate n'a pas nécessairement besoin de matériel ni de logiciel mais peut uniquement compter sur son pouvoir de persuasion et la naïveté ou la cupidité de sa victime.

En effet, le pirate opère de plusieurs façons, en fonction de la complexité de l'objectif à atteindre et de la qualité de son interlocuteur :

- Par téléphone : c'est la méthode la plus rapide et la plus directe pour obtenir un renseignement. Avec du culot on peut se faire passer pour n'importe qui et obtenir pas mal d'informations a priori anodines pour un utilisateur non intéressé

- Par courrier : c'est le phishing et ses variantes papier, l'utilisateur recevant un courrier privé à l'entête d'une grande société

- Par Internet : variante du contact téléphonique, le pirate se fait passer pour un responsable informatique (un administrateur du système) pour vous mettre en confiance et vous soutirer des renseignements (une adresse IP, une adresse e-mail, un nom de répertoire, un mot de passe, une localisation, etc).

- Par contact direct : le pirate prend le risque de vous rencontrer en tête-à-tête. C'est une méthode qui semble fonctionner avec les sociétés de services qui ont l'habitude de recevoir des clients dans leur bureau sans nécessairement s'assurer des qualités de leur contact. C'est ce qu'on appelle le "social engineering".

Les connexions WiFi sont également sources de problèmes. Sans protection locale sur votre ordinateur, vous pouvez être victime de pirates. En effet, si votre accès WiFi n'est pas protégé, à partir de la rue ou d'un autre bâtiment, un pirate peut accéder à votre ordinateur et consulter vos documents comme s'il travaillait depuis votre clavier ! 

Pour éviter tout abus, protéger votre connexion WiFi : activez l'option cachant votre modem (SSID=1) et le cryptage WPA-PSK, au besoin avec un outil de génération de code et installez un long "passphrase". Si vous utilisez le cable TV pour accédez à Internet et une liaison WiFi plutôt que le cable Ethernet vers votre ordinateur (par ex  l'abonnement au bouquet numérique Belgacom Go ou Plus), consultez le manuel d'installation du modem/routeur, notamment à propos de la protection de la connexion sans fil (WiFi). Cfr également cette explication illustrée en anglais. Si tout cela vous rebute, demandez conseil auprès de la hot-line de votre fournisseur.

Ceci dit, selon des essais effectués à Bruxelles en 2006, de 10 à 40% seulement des réseaux WiFi d'entreprise étaient protégés contre 75% des abonnés privés. Il semble donc que les personnes travaillant à domicile soient beaucoup plus sensibilisées au problème de piratage et se protègent mieux que la plupart des professionnels !

Selon Symantec, le vol de données informatiques et d'informations confidentielles dans les entreprises est toujours en croissance. Le second semestre 2006 a connu 12 jours de vulnérabilité "Zero day" (à l'origine un 0-day est un jour durant lequel un logiciel ou un film est copié illégalement avant sa distribution) contre une seule journée durant le premier semestre 2006, ce qui signifie que le public comme les sociétés sont de plus en plus soumis à des actes de piratage informatique. Un homme averti en vaut deux.

La sensibilisation des utilisateurs

Installer des options de sécurité ne sont pas suffisantes pour protéger un système contre les actions malveillantes. Environ 30% des protections informatiques peuvent être installées du côté matériel ou logiciel et assurent une parfaite protection lors de l'identification, l'authentification et l'autorisation d'accès des utilisateurs sur les différents réseaux voire même à domicile si les parents travaillent sur des dossiers confidentiels (à ne pas faire!). Mais 70% de la protection touche la sensibilisation des utilisateurs à la question de la sécurité informatique. Par utilisateur on entend tout personne travaillant dans la société et ayant accès aux systèmes informatiques, soit depuis son bureau soit à distance.

Pour qu'une entreprise fonctionne sans aléa d'un point de vue informatique, il faut que tous les acteurs aient conscience des risques qu'ils font courir à la société s'ils offrent un point d'entrée aux pirates informatiques. Une telle faille peut ruiner une société ou affecter durablement sa réputation.

Les employés doivent donc revoir leur attitude au travail comme les managers doivent revoir leurs stratégies s'ils veulent s'aligner à égal avec les pirates informatiques qui ne leur feront pas de cadeau en cas d'intrusion. Comme à l'époque des guerres héroïques, la défense doit former une carapace impénétrable, un mur infranchissable face à l'ennemi jusqu'à ce que l'intrus abandonne le combat. Mais la vieille stratégie à ses limites. Ainsi que nous l'avons vu à propos des virus et autres "backdoors", il vaut parfois mieux quitter le champ de bataille et éteindre temporairement les serveurs en attendant d'installer une parade, plutôt que de subir une attaque dont on ne se relèvera jamais.

Un exemple très simple vous sensibilisera aux risques informatiques. Vous savez qu'il y a des virus sur Internet. Vous êtes actuellement connectés à Internet. Avez-vous installé un anti-virus sur votre ordinateur pour prévenir toute attaque ? Et est-il à jour ? Si non, vous êtes un maillon faible de la toile étant donné que les virus peuvent se multiplier et se répandre vers d'autres ordinateurs à partir du vôtre. Ce trafic s'effectue à votre insu. Si vous l'avez fait, vous avez été sensibilisé à l'importance des questions de sécurité informatique et je vous en félicite. Dans le cas contraire, faites un break et allez tout de suite jeter un oeil chez Kaspersky par exemple dont l'efficacité des solutions anti-virus n'est plus a démontrer ainsi que nous l'avons expliqué.

Même chose avec la sécurité entourant les mots de passe. Voyons trois "classiques" du genre. Combien d'utilisateurs n'ont pas essayé d'utiliser un mot de passe très simple plutôt que de suivre les recommendations du service informatique qui exigeait un code alphanumérique... Première erreur qui facilite l'intrusion des pirates. 

La mauvaise volonté des utilisateurs a donc contraint les informaticiens à installer des programmes de gestion de mots de passe dits "forts" mélangeant lettre, chiffre et caractères spéciaux. De ce fait, combien d'utilisateurs n'ont pas noté leurs mots de passe sur une feuille stockée dans leur PC sous le nom de "password.txt" ou "pwd.doc"... Deuxième erreur car ce sont les mots-clés qu'un pirate va automatiquement chercher en premier lieu.

Enfin, combien d'entre vous n'ont jamais laissé leur session active sans mot de passe alors qu'ils faisaient un break ou avaient une réunion d'affaire... La sécurité et la confidentialité des données commence par la responsabilité de chacun d'entre nous.

Aujourd'hui, dans les grandes sociétés, tout le personnel est sensibilisé à cette problématique et les managers semblent résolus à combattre la cybercriminalité de manière proactive en y mettant tous les moyens nécessaires : carte d'entrée magnétique, zone DMZ, firewall, single signon, serveur d'authentification, sécurité étendue sur les fichiers, gestion des mots de passe, backup, BCP, DRP, etc. Cela se paye très cher en terme d'infrastructure, mais c'est le prix à payer pour être à l'abri des sinistres informatiques.

Internet : une liberté inconditionnelle chère payée

S'il y a autant de risques à surfer sur le web, pourquoi me direz-vous, ne contrôle-t-on pas plus Internet ? Internet restera encore longtemps en dehors de tout contrôle car c'est un espace de liberté sans frontière que l'on voit mal censurer en démocratie, quoique l'idée est déjà venue à l'esprit des autorités américaines, anglaises et françaises.

En fait, à côté du problème culturel d’Internet, il y a une question économique : actuellement personne ne paye ce service. Dans notre monde occidental capitaliste, il n’y a que deux solutions à long terme : soit la publicité payera Internet soit les utilisateurs. Le point négatif de cette liberté est le fait qu’il n’y a aucun contrôle, d’où la prolifération des virus, du piratage informatique et autre attaques « denied of service ». Un minimum de règles seraient les bienvenues si les autorités désirent savoir qui utilise Internet, dans le but par exemple de pister la cybercriminalité et tous les actes délictuels (actes malicieux, terrorisme, pédophilie, prostitution déguisée, etc).

Internet reste hors de tout contrôle parce que ceux qui l’utilisent ne sont pas nécessairement ceux qui l’alimentent, et en général utilisateur et développeur ne communiquent pas l’un avec l’autre. C’est l’un des nombreux aspects qu’une future réglementation devra tenir compte sans pour autant pénaliser la liberté d'expression.

De nos jours, l’offre fournie sur Internet s’étend donc loin devant les moyens et la puissance de la législation. Même la simple violation des droits d'auteurs est une tâche très difficile à appréhender sur Internet.

La pornographie sur Internet

Enfin, il y a le problème de la pédophilie sur Internet, une activité également criminelle, et celui de la pornographie qui touche même les jeunes adolescents dès l'âge de 11 ans. Ces sujets sensibles méritent un article spécifique, Internet pour le meilleur et pour le pire.

Voilà en quelques mots ce qui vous attend si vous surfez sur Internet... Mais pas de panique ! Des dizaines de millions d'individus dont un Européen sur quatre surfe sans inquiétude sur le web. Comme d'autres maladies de civilisation, vous savez dorénavant quoi faire : sortez couvert !

Soyez responsables et surfez en paix.

Pour plus d'information

Internet pour le meilleur et pour le pire (sur ce site)

Prévention du piratage informatique (sur ce site)

Attention au harcèlement informatique (sur le blog)

Kaspersky, BitDefender, F-Secure, McAfee, Norton, Panda (anti-virus)

Spybot, ZoneAlarm, A-Squared Anti-Malware, Ad-Aware, Super Anti-Spyware (anti-spyware)

AVG Anti-Spyware, ParetoLogic (anti-spyware)

Netcraft (anti-phishing)

Microsoft (anti-virus)

Virus List (encyclopédie)

Anti-virus en ligne (Kaspersky)

Virus Bulletin (magazine)

WildList (surveillance des virus)

Microsoft Security Bulletin (Microsoft)

Internet Security System (IBM) 

X-Force Intelligence (blog d'IBM)

Clubic (revue des produits anti-virus)

alt.comp.anti-virus (forum US)

Nation Master (statistiques)

Génération de code WPA-PSK

Guerres dans le cyberespace (livre)

Retour aux Technologies