Les TICs à La Réunion

Que doit-on attendre de demain ?

Sécurité informatique (nouvelles attaques et parades)

Témoignages.re / 12 février 2008

Le thème de la sécurité informatique n’a jamais été autant d’actualité tant au niveau des professionnels que des particuliers.
Être en mesure de faire face, voire d’anticiper ces attaques sournoises et invisibles pilotées à distance par des individus dont les motivations ont bien changé, devient une bataille de tous les instants dont l’issue peut être catastrophique pour les victimes si leur système d’information n’est pas bien protégé.
Si les tentatives d’intrusion dans les systèmes informatiques trouvaient leur motivation dans un challenge quelconque entre Hackers, désormais l’appât du gain est clairement affiché via la demande de rançons.

Avec le développement croissant et inéluctable des applications nomades, les entreprises sont nombreuses à ouvrir leur système d’information que ce soit vis-à-vis de leur personnel (sur le lieu de travail ou en déplacement), partenaires, fournisseurs ou clients.

Concernant le particulier, celui-ci est amené à utiliser couramment sa connexion Internet pour des achats en ligne ou tout simplement pour consulter ou effectuer des opérations sur ses comptes bancaires.

Qui n’a pas entendu parler du Phishing (ce terme désigne un e-mail, envoyé par un pirate, ressemblant fortement à un e-mail provenant d’un site connu, par exemple votre banque, et vous invitant à communiquer des informations essentielles comme le mot de passe ou votre numéro de compte ou de carte) ? ou bien encore du réseau de PC zombies !

Nous avons choisi de faire un petit point sur le sujet notamment sur les réseaux de robots (botnets) qui sont constitués par des personnes malveillantes qui s’arrangent pour avoir la main sur des pc de particuliers ou des sites web (il peut y avoir plusieurs centaines de milliers de machines concernées) pour avoir des activités comme le relais de spam, le vol de données, etc...

Richard Touret, responsable de la société BinarySEC, spécialisée en sécurité informatique, basée à Saint-Pierre et membre de l’Artic, répond aux questions de Christine Niox-Château (Chargée de mission Artic) afin de nous apporter un éclairage professionnel sur les enjeux de ces attaques et les parades existantes.

Christine Niox-Château-Compin : Pouvez vous nous rappeler la vocation de votre entreprise et les secteurs d’activités faisant le plus appel à vos services ?

Richard Touret : BinarySEC est un éditeur de logiciel de sécurité informatique. Nous avons développé le “garde du corps” des sites Internet et des applications web. Ce logiciel 100% réunionnais utilise les technologies de l’intelligence artificielle pour apprendre le trafic normal d’un site et rejeter, dans un second temps, tout le trafic anormal. On pourrait faire l’analogie avec un détecteur de faux billets qui constaterait toute anomalie d’un billet. En outre, ce détecteur serait intelligent puisqu’il ‘apprendrait’ de nouvelles coupures ou les différences entre les billets de chaque pays.
Les développements de BinarySEC ont commencé en 2004. Nous sommes maintenant une jeune entreprise locale créée en 2007, dont le logiciel fonctionne déjà chez plusieurs clients.
Les secteurs les plus concernés sont bien entendu :

- les hébergeurs de sites web. Ils pourront ainsi apporter une protection complémentaire du traditionnel firewall.

- les sites de commerce électronique victimes très fréquentes de la fraude.

- les sites institutionnels, cibles de choix.

En 2008, Binarysec met d’ailleurs en œuvre une action à étage, dans le sens où nous recrutons des spécialistes -distributeurs de sécurité informatique, hébergeurs, web agencies- qui vont eux-mêmes installer notre logiciel chez leurs propres clients.
Je précise enfin que nous tissons actuellement plusieurs partenariats, notamment avec Oracle et IBM afin d’offrir des versions de BinarySEC adaptées à leur offre logicielle.

Pourquoi la sécurité informatique est elle un sujet si brûlant ?


- Le sujet est brûlant depuis de nombreuses années ! L’attention des médias est souvent liée aux “grandes affaires”. Comme vous l’avez souligné très justement, la “nouveauté” tient beaucoup à la nature des cybercriminels (leurs motivations). On est effectivement passés d’actions malveillantes perpétrées par des jeunes gens dont le principal objectif est “d’exister”, de prouver leur valeur à des profils d’organisations criminelles organisées. Les premiers, appelés “script kiddies” vont avoir des compétences modestes et seront surtout de simples utilisateurs de logiciels conçus par des tiers. Les seconds peuvent s’assimiler à des “entreprises” de malveillance informatique avec leur modèle économique, leurs experts, voire leur force commerciale. Savez vous que selon Mc Afee, le marché annuel du cybercrime est estimé à 105 milliards de dollars, il dépasserait, pour la première fois, celui du trafic de drogue en 2006 ? Savez-vous que sur Internet, on peut acheter des lots d’identités volées ? Pourquoi cette professionnalisation de la malveillance ? Tout simplement parce que Internet s’est “monétisé”, beaucoup d’argent et d’information sensibles circulent : publicité, commerce électronique, banque en ligne, données confidentielles privées...

Je vais vous illustrer mes propos avec l’exemple des réseaux de robots appelés plus communément : botnets . Le phénomène n’est pas isolé, on parle de 20 à 30 millions de machines infectées dans le monde, selon Kaspersky. Et un botnet n’a pas de frontières ! Plusieurs milliers de machines sont probablement ‘enrôlées’ à La Réunion ! Un botnet est un ensemble de machines sur lequel un cybercriminel a pris le contrôle. En général, il s’est arrangé pour que la victime récupère à son insu un morceau de code informatique malveillant (cheval de Troie) qui va aller télécharger un programme plus conséquent. Ce premier code peut se trouver dans un mail mais aussi sur une page web piratée. Le botnet est piloté par un système de Commande et Contrôle qui lui donne toute sa valeur. Vous aurez généralement un (1) cybercriminel chef d’orchestre (2) un marché des ‘produits malveillants’ -de véritables kits de l’apprenti sorcier sont disponibles sur le net, de même qu’il est possible de ‘louer’ des ressources pour diffuser des spams (3) les victimes, machines enrôlées à leur insu dans des réseaux.

Je terminerai en donnant un exemple de modèle économique malheureusement ‘gagnant’ : un cybercriminel achète des marchandises sur une boutique en ligne avec de fausses identités (fausse carte, etc.), il se fait livrer chez des ‘mules’, personnes complices qui touchent une commission, celles-ci renvoient les marchandises au cybercriminel qui va les revendre sur des sites d’enchères.

Quelles sont les principales menaces en ce moment ? (1-pour le professionnel et 2- le particulier)


- Pour les particuliers, citons quelques menaces. Les botnets sont souvent les vecteurs, les diffuseurs des menaces suivantes :
> Diffusion de spams. Les grands champions du spam en 2007 sont la vente de produits pharmaceutiques illicites, la fraude à la Bourse (un fraudeur achète des actions inconnues et crée un ‘bruit’ très important autour de l’action pour la faire grimper, il revend l’action lorsque celle-ci est au plus haut), les incitations au clic pour provoquer le chargement d’un code malveillant. Je pense à des mails d’actualité ou des photos suggestives.
> La fraude à la carte bancaire et l’utilisation des numéros pour des achats.
> Le vol de données nominatives confidentielles. Les seules données chiffrées émanent des Etats-Unis où la perte d’information doit être déclarée. En 3 ans, 218 millions de données nominatives ont été volées ou perdues.
> Le phishing ou hameçonnage, caractérisé par la tentative d’obtenir des informations sensibles en usurpant l’identité d’entreprises ‘de confiance’ (ex : banque)
> Scamming : la fameuse personne qui souhaite entrer ‘en relation d’affaire’ avec vous, promettant une forte commission pour un transfert d’argent.

Les professionnels sont également concernés par ces menaces. On ajoutera :
> Les menaces d’espionnage économique. Quoi de plus important pour une entreprise que son fichier client ou ses secrets de fabrique ? Ces menaces sont doublement dévastatrices : préjudice ET déficit d’image pour l’entreprise qui ne sait pas se protéger.
> Menaces liées à l’hébergement d’applications web. Nous savons, par expérience, que ces applications sont de plus en plus fréquentes en entreprise et très vulnérables. D’ailleurs, les cybercriminels utilisent de plus en plus des sites ‘innocents’ pour diffuser leurs ‘chevaux de Troie’, programmes malveillants les plus fréquents. Il apparaîtrait sur internet 6000 nouvelles pages web infectées par jour (source : Sophos). Ces pages appartiendraient pour une majorité à des sites innocents, vecteurs de transmission de code malveillant ...
> Les attaques en déni de service : un groupe malveillant va ‘écrouler’ le réseau informatique d’une entreprise en la bombardant littéralement de requêtes.
> Le maquillage de site web. Plus anodin mais assez fréquent. L’image de l’entreprise est en jeu. Par exemple, à l’occasion d’un défilé de haute couture ‘fourrures’, les principales pages du site de Chanel avaient été ‘remplacées’ par des photos d’animaux martyrisés ...

De quels pays viennent ces attaques ?


- Disons tout d’abord qu’un pirate n’attaquera jamais avec ses propres machines (ni son adresse internet - IP -). Il pourra envoyer des requêtes partant au Chili, rebondissant sur un serveur (proxy) en Russie puis en Chine pour atteindre sa cible finale aux Etats-Unis, par exemple. Ceci pour dire qu’il est difficile de déterminer l’origine. Et par définition, si un pirate utilise un botnet, les centaines de milliers de machines se trouveront dans de nombreux pays.
De même, il n’est pas absolument certain que les attaques perpétrées contre l’Estonie en milieu d’année 2007 soient le fait de la Russie, ni que la Chine soit à l’origine des attaques portées sur plusieurs pays d’Europe et les Etats-Unis en fin d’année. Les médias ont besoin d’information à sensation ! Un bon pirate se reconnaît à sa capacité à ne pas laisser de traces. C’est souvent en étant imprudent, trop impatient ou trop gourmand qu’il se fait prendre.
Malgré tout, en volume, on sait qu’il y a beaucoup d’activité malveillante en Europe de l’Est, en Chine et en Asie du Sud-Est.

Quels sont les bonnes attitudes à adopter ? (1-pour le professionnel et 2- le particulier)


- Le particulier doit avoir un bon antivirus comportemental, un antispam, un firewall personnel (logiciel). Tout en connaissant les limites de ces outils. Il doit SURTOUT être méfiant. Ne pas cliquer sur tous les liens, ne pas se fier aux offres trop alléchantes, ne pas donner d’informations confidentielles demandées par mail par exemple. Il doit prendre garde aux mails liés à l’actualité. Il ne doit pas aller sur n’importe quel site web, les sites à la morale douteuse sont plus susceptibles d’infecter votre machine. Cela ne veut pas dire que tous les sites réputés sont irréprochables.
Le professionnel doit avoir un raisonnement plus ‘systémique’, tel un auditeur interne : quels sont les principales données sensibles détenues par mon entreprise ? Comment sont-elles stockées ? Quels sont les points faibles de mon système d’information ? Qu’est ce qui est tolérable pour mon entreprise en termes de pertes de données, d’indisponibilité du système d’information, de perte d’image de marque, etc. Un petit artisan ou une entreprise de grande distribution n’ont pas la même problématique de sécurité du système d’information. On peut retenir l’acronyme ACID pour se souvenir des principaux critères de la politique de sécurité :
> Auditabilité -qui fait quoi, qui a le droit de quoi, authentification, traçabilité,
> Confidentialité - des données et des flux -,
> Intégrité - les données n’ont elles pas été corrompues ou modifiées - et disponibilité.

Pour les professionnels, j’insisterai encore sur 2 points :
> Êtes vous correctement protégé contre les indisponibilités de toute nature ? Nous sommes exposés aux risques naturels et intempéries à la Réunion (eau, électricité, vent, accès internet), il faut l’intégrer, prévoir éventuellement un ‘mode dégradé’, voire un plan de reprise d’activité.
> Votre entreprise repose-t-elle sur des technologies web ? si oui, cette technologie est vulnérable et sera de plus en plus exposée. Je pense aux sites web mais aussi aux applications d’entreprise ‘webisées’.

CNCC : Quels sont les outils et moyens fiables pour l’entreprise ?


- En quelques mots, un firewall réseau est indispensable mais pas suffisant, il va limiter les risques d’intrusion. Un antivirus sur les postes, un antispam avec la possibilité de vérifier l’efficacité du filtrage. Attention aux fausses alertes, comme un mail identifié comme spam s’avérant être une demande de devis d’un client ! C’est très fréquent. La protection des applications va être de plus en plus populaire, probablement autant que l’antivirus, c’est notre vision et notre conviction ! Je trouve également que le filtrage d’url est appréciable, outil de sécurité empêchant les utilisateurs de visiter des sites non professionnels, ainsi que le passage par un serveur proxy (filtre).
Enfin et surtout le plus important, l’humain ! Sensibiliser et former les équipes aux risques d’internet. Souvent, une demi-heure d’explications et du bon sens suffisent.

Que conseillez vous au particulier pour se protéger ?


- Un antivirus performant, beaucoup de bon sens (ne pas cliquer sur n’importe quel lien dans un mail, se demander si on connaît l’interlocuteur ou si ce mail a une raison d’être, ...), ne pas s’aventurer sur des sites qui pourraient être porteurs de programmes malveillants exploitant des vulnérabilités fréquentes dans le navigateur web par exemple, installer les mises à jour des éditeurs de logiciels, etc.

Lors de déplacement à l’étranger quelles sont les précautions à prendre ?


- La problématique générale que vous évoquez me semble être celle de la mobilité. Elle est de plus en plus fréquente. Les machines portables (PC, assistant numérique -PDA-, téléphone mobile) sont sensibles. Ils sont communicants, faciles à voler et manipulent de plus en plus d’informations sensibles. Des récents vols de portables en Grande-Bretagne ont causé des pertes de données nominatives confidentielles considérables. Il a même été question de démission de plusieurs ministres de sa Gracieuse Majesté ! L’affaire des Blackberries a aussi défrayé la chronique. Ces PDA communicants permettant de garder le contact avec son entreprise ont un inconvénient majeur. L’opérateur des échanges est une société privée canadienne. L’usage du Blackberry a été interdit par plusieurs administrations.
Pour répondre plus précisément, je recommande au moins de crypter le disque dur de son ordinateur portable. S’il est volé, les données ne seront pas (ou très difficilement) exploitables. Et il faut utiliser un canal de communication chiffré lors de la communication avec son entreprise. Cela se met en œuvre facilement avec un client VPN -pour Virtual Private Network ou Réseau Privé Virtuel- sur le portable. Enfin, si vous allez dans un cyber-café à l’étranger, pensez à effacer vos données privées de communication -historique, mots de passes, cookies, fichiers temporaires...

À quels types d’intrusion-d’attaque doit-on s’attendre dans les prochains mois ?


- On peut s’attendre à une montée en puissance des attaques systématiques sur les sites et applications web en général. Internet est un géant aux pieds d’argile. Car les protocoles de communication qu’il utilise ont été conçus pour être ouverts, rapides, faciles à mettre en œuvre mais pas pour être sécurisés. Le problème était moins aigu jusqu’au milieu des années 1990 mais maintenant internet véhicule de telles sommes d’argent et a un tel enjeu géopolitique que tout est possible. D’immenses fortunes, de très grandes entreprises se sont bâties sur internet. Elles sont un peu plus fragiles que les autres. Pensons aussi à l’actualité récente, la Société Générale a traversé une crise majeure, a permis à l’un de ses jeunes salariés de manipuler 50 milliards d’euros. A l’origine, une fraude informatique ayant permis de déjouer les processus de contrôle interne...
Les réseaux sociaux, les sites communautaires (Facebook, etc.) me semblent également des vecteurs importants d’attaque et aussi des moyens de récupérer des informations précieuses dans le cadre d’opérations ‘d’ingéniérie sociale’. Ces systèmes sont très permissifs et communicants. Et ils permettent d’obtenir de précieuses informations personnelles, facilitant l’ingénierie sociale.
On note aussi, en 2007, l’industrialisation des attaques automatisées avec la mise à disposition sur internet de ‘kits pour attaquants’ particulièrement efficaces. On les a vus en œuvre sur le piratage de 10.000 sites italiens en une nuit. Ces attaques ne peuvent pas être portées manuellement ou encore l’émergence du Russian Business Network, organisation très puissante dédiée à la cybercriminalité (hébergement, chantage au déni de service, ...). Sa taille, évaluée à 1 million de sites (source CLUSIF) confirme que ces structures sont organisées et puissantes.

Binarysec vient d’être retenue pour être accompagné par INRIA -Transfert pouvez vous nous expliquer en quoi cela consiste et ce que cela représente pour vous ?


- Effectivement, BinarySEC va être accompagné pendant 18 mois par cette filiale à 100% de l’Institut National de Recherche en Informatique et Automatisme. La vocation de INRIA-Transfert est, je cite "d’accompagner et d’évaluer des projets de création/développement de jeunes entreprises innovantes de haute technologie informatique afin de qualifier les meilleures entreprises et d’en promouvoir le développement." Une vingtaine d’entreprises est suivie simultanément, dont un nombre important émanant de l’INRIA. C’est donc une marque d’intérêt de la part d’un organisme prestigieux et une première dans les DOM. Nous sommes ravis d’avoir été sélectionnés ! Cela va se traduire par un accompagnement au développement de notre activité. En commençant par une analyse des points forts et faibles de BinarySEC : technologie, équipe, recrutements, développement commercial, stratégie, financement, etc. Tous les aspects de l’entreprise sont examinés. Autre point important : INRIA - Transfert est en prise directe avec le marché, a beaucoup de relations avec les investisseurs, les grandes entreprises et bien sûr les experts de l’INRIA. Elle connaît le développement et les difficultés des start-ups. Elle doit accompagner notre montée en puissance. Elle constituera enfin un relais précieux en métropole. Pour BinarySEC, cela va également se traduire par plusieurs voyages annuels !

Propos recueillis par Christine Niox-Château-Compin
Chargée de mission à l’ARTIC