EADS ? Piraté par des chinois. Le site de l'Elysée ? Piraté aussi. Pareil pour de nombreuses entreprises toulousaines qui, ces derniers temps, se sont faites attaquer à leur tour. Retour sur un phénomène sous-estimé avec un expert en sécurité informatique.
Des nouvelles formes de cyber-espionnage qui touchent ces derniers jours les instances gouvernementales de 23 pays et qui a été révélé hier par la presse. Le toulousain Jean-Nicolas Piotrowski, est expert dans la sécurité informatique. Avec Secured Virtual Cloud (SVC), un consortium de dix laboratoires dont il est chef de file, il vient de gagner l'appel d'offres de l'État français qui vise une solution nationale pour sécuriser clouds publics ou privés. Entretien
L’espionnage et le piratage informatique sont-il exceptionnels ?
Pas du tout, une étude menée par Barracuda Networks, Cenzic Inc, et l’Institut Ponemon montre que depuis deux ans, trois entreprises sur 4 sont victimes de piratage via des applications web non sécurisées. Et je pense que 80% de ces entreprises ne le savent même pas. La DCRI affirme que Midi-Pyrénées est la troisième région ciblée en Europe. Airbus l’a été en 2009 (ou 2010 ?)
Le phénomène vise-t-il plutôt les grosses entreprises ou les PME ?
Les grosses entreprises sont un peu moins vulnérables. D’abord, elles ont plus de moyens, financiers notamment pour se défendre. Ensuite, si entrer dans leur système n’est pas si difficile, retrouver ses petits dans de telles masses d’informations peut se révéler bien plus complexe.
Les petites et moyennes entreprises sont en revanche bien plus fragiles. Elles permettent aussi l’accès aux grosses entreprises dont elles sont sous-traitantes. Et souvent, elles utilisent les mêmes technologies ou y ont accès. C’est une faille que les cyber-espions utilisent beaucoup.
Que cherchent les pirates ?
Il est difficile de savoir quels types d’informations sont recherchés. On peut distinguer, à mon sens, deux choses. Tout d’abord une cartographie économique régionale : qui travaille avec qui, sur quoi, quels sont les tarifs pratiqués, une information globale en sorte. Ensuite, tout ce qui concerne des technologies, des brevets comme, par exemple, des molécules mises au point par des laboratoires.
Le phénomène a-t-il évolué ?
Le piratage et l’espionnage ont pris une nouvelle forme depuis 5-10 ans. Avant, vos responsables informatiques vous disaient de ne pas utiliser de fichiers exécutables (qui ont une extension en .exe par exemple). Maintenant, le simple téléchargement d’un fichier, un pdf par exemple suffit à introduire un virus ou un espion dans un système. Ils installent dans le système un trojan, un cheval de troie. Récemment, le 25 novembre dernier, l’Elysée a été piraté par la simple récupération d’un mél sur facebook.
En matière de sécurité informatique, la vieille école mettait des barrières avec des pare-feux, des antivirus. Mais aujourd’hui, la défense doit se faire bien plus en profondeur. Les menaces persistantes, les APT (Advanced Persistent Threat) sont conçues pour passer au travers des barrières.
Y a-t-il un manque de conscience du problème ?
Oui. Quand nous réalisons des audits de sécurité, nous tentons de pénétrer dans les systèmes de nos clients. Dans 90% des cas, nous y parvenons. Et une fois sur deux, nous récupérons des informations confidentielles. Il n’y a pas d’évolution dans les systèmes de protection des entreprises, c’est très inquiétant. Nous sommes en effet passés du hacker du dimanche à de véritables systèmes organisés. Des entreprises font du piratage à la demande, des attaques sur commande, ciblées pour le compte de particuliers, d’intérêts privés ou publics. C’est le cœur de l’espionnage économique aujourd’hui.
Que faire pour protéger les systèmes?
Il existe pour nous un Top 10 des failles à vérifier régulièrement. Comme les mises à jour régulières des logiciels ou les mots de passe par défauts par exemple. En 2010, les centrales nucléaires iraniennes ont été attaquées par un virus extrêmement violent, Stuxnet, simplement via un mot de passe par défaut de l’entreprise Siemens.
Des outils de vérification des failles informatiques peuvent éviter cela. Nous avons mis au point le seul européen mais les Américains sont très en avance sur nous. Il existe chez eux au moins 6 ou 7 technologies simples capables de protéger un système de façon fiable. En complément des pare-feux et des antivirus.
