CSF Magazine n° 105 - QUELLES PROTECTIONS FACE AUX NOUVEAUX PIRATES ?

maquette-CSF-105 433px

Pour recevoir le CSF MAG, il vous suffit de rejoindre l'association CSF.
Pour adhérer au CSF et profiter de tous les services et avantages sélectionnés pour vous, il suffit d’acquitter un droit d’entrée unique et une cotisation annuelle. Et pour plus d’avantages, optez pour le service C’Plus.

En savoir plus
✔ Souscrire


Piratage de 500 millions de comptes d’utilisateurs Yahoo, messages bidons inondant nos boîtes mails, phishing tentant de récupérer vos coordonnées bancaires, attaques informatiques massives visant les entreprises, les collectivités ou les sites internet comme en octobre dernier aux États-Unis : la cybersécurité est devenue aujourd’hui un enjeu majeur.

INFORMATIQUE, DES FAILLES DANS LE SYSTÈME

Elle concerne chaque citoyen. Qui n’a pas reçu ces messages de faussaires vous annonçant que 500 000 dollars vous attendent si vous livrez les clés de votre compte bancaire ou qu’un ami est en difficulté à l’étranger si vous ne lui envoyez pas d’argent ? Mais les risques concernent aussi les entreprises. Tout récemment, un commerce français en ligne CDiscount s’est fait remarquer : son sous-traitant avait laissé accessibles les données bancaires de ses clients en ligne. Chaque jour les entreprises sont la cible d’attaques venues de la concurrence ou de la malveillance.

SOMMES-NOUS BIEN PROTÉGÉS ?


Les grandes administrations publiques nationales détiennent des masses d’informations confidentielles. C’est le cas du fisc. Il n’ignore – presque – rien des revenus des Français. Combien gagnent-ils ? Quel est leur patrimoine ? Leur situation familiale ? Argent, vie privée et familiale, immobilier : les impôts savent tout de nous. Gardent-ils bien toutes ces données ? Sont-elles à l’abri de divulgations malveillantes ? Jadis, Le Canard enchaîné réussissait à se procurer des photocopies de feuilles d’impôts de ministres ou de personnalités ; c’était affaire de petite ruse. Aujourd’hui, l’échelle a changé : c’est par millions qu’un éventuel piratage du système informatique fiscal livrerait nos feuilles d’impôts. Mais aucune faille, aucun incident n’a été déploré jusqu’à ce jour. Le ministère des Finances dispose de moyens sophistiqués nécessaires pour sécuriser ces données et contrer les attaques. Pourtant, Bercy avait été l’objet à la fin de 2010 d’une attaque informatique mystérieuse et de grande ampleur : plus de 150 ordinateurs du ministère avaient été piratés par un « cheval de Troie », virus informatique qui s’installe à l’insu de l’utilisateur et espionne ses données. Objectif des pirate : accéder à des informations confidentielles liées à la préparation du G20. Une attaque spectaculaire, aussitôt contrée par les experts maison : « 20 à 30 personnes ont travaillé jour et nuit sur l’affaire », avait indiqué alors le directeur général de l’Agence nationale de sécurité des systèmes d’information. Mais depuis, la vigilance a été accrue et Bercy y consacre les efforts nécessaires.
On sait aussi que la cyberdéfense est partie intégrante des missions du ministère de la Défense. Ce ne sont plus les données personnelles des citoyens qui sont en cause, mais des informations liées à la sécurité nationale. Le ministère de la Défense rappelle qu’il « est responsable des systèmes les plus stratégiques, ceux liés à la dissuasion nucléaire mais également des systèmes d’armes sophistiqués, tant en France qu’à l’extérieur du territoire national ». Un Pacte Défense Cyber a été lancé depuis deux ans, et les crédits sont renforcés. Là aussi, on veille. Et ce n’est pas notre diplomatie qui a été piégée, mais celle des États-Unis, quand l’affaire Wikileaks a révélé au grand jour les dizaines de milliers de messages échangés par les diplomates américains de par le monde. Au quai d’Orsay, on a compris le message. L’alerte a été chaude. En octobre 2014, un poste spécifique de coordinateur cybersécurité a été créé.

LES FICHÉS S DANS LA LIGNE DE MIRE


Les ministères de la Justice et de l’Intérieur gèrent des fichiers sensibles qui concernent beaucoup de citoyens. Le grand fichier unifié des Titres électroniques sécurisés (TES) est actuellement en débat. Pirater le fichier national automatisé des empreintes génétiques (FNAEG) serait lourd de périls : il contient notamment la liste des personnes condamnées ou simplement mises en cause. Indispensable aux enquêteurs et aux juges, il serait malsain de le livrer en pâture. Et que dire du fichier judiciaire national des auteurs d’infractions sexuelles ou violentes ? Les « fichés S » sont au coeur des polémiques ; ce sont des individus qui n’ont commis aucune infraction mais qui sont surveillés par le Renseignement intérieur et pourraient être tentés par le terrorisme. Publier un tel fichier, qui réunit des gens qui n’ont pas commis de délit serait problématique. Un piratage pourrait donner lieu à une exploitation partisane. Le ministre de l’Intérieur, Bernard Cazeneuve a annoncé en début d’année la création d’une mission de lutte contre les cybermenaces, réunissant l’Intérieur et la Justice. La sous-direction de lutte contre la cybercriminalité a vu ses effectifs passer de 70 à 100. Au sein de la gendarmerie, 2 000 enquêteurs spécialisés sont répartis sur le territoire national. Car pour lutter contre les hackers, il faut de bons experts. « L’évolution rapide et la diversification des menaces nous imposent de donner aux enquêteurs de nouveaux moyens d’investigation » a souligné Bernard Cazeneuve. Mais si les ministères « régaliens » – Défense, Intérieur, Justice – ont les moyens de se protéger, qu’en est-il des autres ? Les ministères sociaux, la Sécurité sociale, les hôpitaux détiennent des milliards d’informations personnelles que les citoyens n’aimeraient pas voir divulguées. C’est un enjeu de confiance dans le service public. M

MÊME AMÉLI EST VISÉ !



Certes, dans leur majorité, les pirates informatiques sont motivés par le gain. Ils recherchent de l’argent. Les fichiers des retraites ou des déclarations annuelles de données sociales les intéressent moins que les comptes bancaires. D’autres sont mus directement ou indirectement par des services de Renseignement qui cherchent des secrets d’État. Et, de fait, jusqu’à présent, la Sécurité sociale a davantage souffert de « bugs » que de piratage. Mais la malveillance n’est jamais exclue. Ainsi aux États-Unis, les numéros de Sécurité sociale de 21 millions d’Américains se sont retrouvés dans la nature. Car la modernisation comporte ses revers. L’Assurance maladie a mis en place son site internet Ameli. Et des fraudeurs utilisent son logo pour envoyer des messages frauduleux aux assurés. C’est le fameux « hameçonnage » ou phishing, qui cherche à obtenir des renseignements bancaires ou personnels, en annonçant un « remboursement » fictif. Jusqu’alors, la seule réponse consiste à informer le mieux possible les assurés, pour qu’ils se méfient de ces manoeuvres… Et même si la cupidité est le moteur le plus fréquent des pirates, il ne faut pas sous-estimer la capacité de nuisance de certains hackers qui lancent des défis aux systèmes informatiques. Ce sont des passionnés de réseaux qui veulent comprendre le fonctionnement d’un système informatique, déjouer les codes et mots de passe, trouver la faille et rédiger un bulletin de victoire par la simple intrusion dans le système. On se souvient de Kevin Mitnick qui parvint à s’infiltrer ainsi au coeur des informations du Pentagone !