Le monde numérique ne cesse de croître…. et ses dangers aussi !
Daniel MARTIN
Les ordinateurs, tablettes, smartphones et consoles ont envahi notre quotidien et avalent de plus en plus une bonne partie de notre temps professionnel et de loisirs. On ne saurait plus se passer de ces moyens, tout comme les réseaux et les applications qui nous suivent partout. Plus le temps de souffler. On peut vraiment parler d’addiction.
Services étatiques, entreprises et organisations, individus et simples particuliers, familles et amis ont profité de cette révolution pour traiter toutes les données et informations qui les touchent, y compris dans leur intimité, et les afficher via les réseaux un peu partout dans le nuage ! (le Cloud). Même les objets sont maintenant connectés.
Tout est parfait quand tout fonctionne normalement, mais ce nouveau monde est bien fragile face aux menaces qui le guette : pannes électriques, rupture des réseaux, détournements de données privées, bancaires, industrielles, espionnage, destruction ou sabotage des infrastructures sensibles, attaques informatiques.
La notion de temps a disparu : tout se passe à la vitesse électronique dans un espace mondial où les frontières n’existent plus. Le monde virtuel semble avoir phagocyté le vieux monde matériel. Mais attention, la vraie vie est encore dans le monde matériel et à la fin, même après le casse du siècle, il faut tout de même toucher l’argent pour le dépenser … Les traces existent, heureusement !
Pour fixer l’ampleur du phénomène, rappelons quelques chiffres : Chaque année, on achète environ 300 millions de PC. On compte pratiquement 4 milliards d’internautes dans le monde, dont 3 milliards d’inscrits sur les réseaux sociaux. Internet a pénétré près de 90 % de la population en Amérique du Nord et quasiment le même pourcentage en Europe… Autant de personnes susceptibles de pénétrer, à votre insu, dans votre intimité via votre « fenêtre » ouverte sur le monde.
C’est merveilleux : vous pouvez pratiquement savoir tout sur tout, tout le temps et instantanément. Mais quelle est la qualité des informations fournies ? Sont-elles fiables ? Sont-elles vraies ? Et si vous, vous pouvez pénétrer chez les autres, les autres en réciprocité peuvent violer votre vie privée et même diffuser de fausses informations ! On pourrait croire que tout est bien dans le meilleur des mondes. Mais il n’en est rien : ce serait oublier l’envers du décor !
Les attaques informatiques sont de plus en plus fréquentes
Bombes logiques, vers, virus, chevaux de Troie, Spams, Phishing…viennent perturber ce « meilleur des mondes ». On ne compte plus les attaques qui visent possiblement toute machine branchée sur un réseau.
Il y a 3 millions de nouveaux malwares (programmes malveillants) qui apparaissent chaque jour (source Symantec). Encore plus préoccupant, ce nombre d’attaques augmentent de plus de 50 % chaque année.
Tout le monde est concerné.
– En premier les services étatiques : le ministère de la Défense français a indiqué avoir fait l’objet de plus de 24 000 cyber attaques déjouées en 2016.
– En second lieu les entreprises : Yahoo s’est fait voler les données d’un milliard de ses utilisateurs.
– Enfin, les particuliers : 140 attaques par Phishing par heure, soit 1,22 million d’attaques en 2016 (source APWG), 5,6 millions de données personnelles volées ou piratées, soit 65 vols par seconde ! 45 % de taux de succès pour les Ransomwares pour une somme évaluée à 1 milliard de dollars par le FBI en 2016. 1,1 million de victimes de fraude à la carte bancaire (source ONDRP) pour un montant 416 millions d’euros selon l’Observatoire de la sécurité des cartes de paiement.
Les attaques ne concernent pas seulement les PC et les portables mais aussi les smartphones. NOKIA indique que 1% des smartphones sont infectés par un logiciel malveillant avec une hausse de 83 % sur la deuxième moitié de 2016.
Les cyber-attaques s’appuient sur les vulnérabilités existantes
Les cyber-attaques sont identifiées par les hackers (Black ou White Hats) au fur et à mesure de leurs découvertes partagées sur le Darknet.
Les failles contenues dans les logiciels sont le plus souvent détectées et utilisées. Cependant, le facteur humain reste un des paramètres essentiels de la mise en œuvre des attaques. Le manque de formation des utilisateurs, souvent leur naïveté et leur manque de vigilance face à la multitude des sollicitations reçues notamment par emails, les rendent complices non intentionnels de la prolifération des épidémies virales !
On oublie aussi que les ordinateurs et les réseaux sont avant tout des moyens techniques matériels constitués d’éléments de base comme les puces électroniques. Ces éléments sont susceptibles de contenir des failles qui peuvent être exploitées.
Un exemple édifiant vient de défrayer la chronique : celui de Spectre et Meltdown. Ce ne sont pas de simples bugs mais des défauts de conception qui rendent vulnérables la grande majorité des ordinateurs et des smartphones dans le monde.
Spectre et Meltdown résident dans les processeurs qui permettent d’exploiter les données contenues dans les matériels utilisant des puces produites par Intel, mais aussi par AMD et ARM. Grâce à ces vulnérabilités, un logiciel malveillant peut accéder aux verrous barrant l’accès aux informations, dont par exemple les identifiants de connexion, pseudos et mots de passe. Les risques sont importants pour les services du Cloud très prisés par un grand nombre d’utilisateurs.
Les constructeurs ont apporté des correctifs, mais selon le CERT (Computer Emergency Response Team) américain, le problème ne sera définitivement réglé qu’avec de nouvelles puces qui seront intégrées dans les ordinateurs à venir. C’est dire que les pirates ont encore de beaux jours devant eux !
On apprend que ces vulnérabilités sont assez anciennes et que devant l’ampleur des dégâts, c’est le silence qui a prévalu, rendant les données accessibles. Inadmissible !
Quelles ripostes pour l’Etat, les entreprises et les individus ?
Il est essentiel de contraindre les constructeurs et les éditeurs de logiciels et progiciels à dévoiler les failles découvertes afin de permettre aux utilisateurs de prendre toutes les mesures de sauvegarde nécessaires sans délai.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), qui intervient pour l’Etat, décrit ainsi ses missions sur son site :
« L’agence assure la mission nationale en matière de sécurité des systèmes d’information. A ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’Etat et de vérifier l’application des mesures adoptées.
Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réactions aux attaques informatiques, notamment sur les réseaux de l’Etat.
L’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV).
Elle est chargée de la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique.
Son action auprès de différents publics comprend la veille et la réaction, le développement de produits pour la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de prestataires de confiance. »
Vaste programme !
Les entreprises se doivent d’être vigilantes et développer une sensibilisation et de la formation autour de cette problématique :
– Rédaction d’un règlement intérieur à faire signer par tous les collaborateurs et prévoyant notamment l’usage des portables et de moyens mobiles (clés USB en particulier), l’utilisation de l’Internet et la consultation de sites, etc.
– Suivi des activités et examen des journaux de bord.
– Etablissement d’une liste des meilleures pratiques à mettre à jour en permanence, etc.
Réaliser une véritable veille dans ce domaine est primordial pour réagir le plus rapidement possible. Ce n’est pas un luxe de prévoir une gestion de crise pour anticiper et préserver l’image de la firme en cas de besoin.
Les individus doivent être aussi se montrer très vigilants :
– Penser à mettre à jour systématiquement les logiciels utilisés, en particulier les antivirus.
– S’informer en permanence des meilleures pratiques en vigueur.
– Penser à utiliser des mots de passe et des pseudos suffisamment sophistiqués pour ne pas être cassés facilement. Veiller à les changer périodiquement et à ne pas prendre les mêmes identifiants pour les accès aux différents sites consultés.
– Avant d’ouvrir un courrier ou une pièce jointe, identifier l’émetteur et ne jamais perdre de vue que le Phishing est de plus en plus rusé.
En un mot, comme dans le mode ancien et matériel, ne soyez pas cambriolables ! Et se rappeler les règles de base. En effet, il est essentiel de ne jamais oublier que :
– Toute entreprise ou tiers gère surs ses moyens d’automatisation des fichiers numérisés qui contiennent des informations sensibles ou stratégiques.
– Tout système informatique et ses réseaux comportent une ou plusieurs failles qui permettent de contourner le système de sécurité.
– Toute personne ayant accès au système d’information a par définition vocation à découvrir les faiblesses et vulnérabilités des dispositifs en place
La probabilité d’utilisation malveillante est inversement proportionnelle aux risques encourus
*
Si l’explosion de l’Internet, du Big Data, des objets connectés et des moyens numériques en général constitue incontestablement un progrès majeur, les risques encourus sont de plus en plus grands en matière de sécurité.
Selon la formule consacrée : « Un homme informé en vaut deux ! »
C’est par la sensibilisation aux bonnes pratiques, par la formation et par une attitude vigilante que nous pourrons contenir et neutraliser les utilisations déviantes des outils techniques qui nous sont proposés et qui ne cesseront de se moderniser.
Il faut se résoudre à ne pas s’endormir face aux nouveautés et continuer d’apprendre, apprendre, toujours et sans cesse… en toute humilité, car nous sommes présence d’une lutte sans fin entre le glaive et le bouclier. Comme quoi le monde classique n’est jamais bien loin !