COMMENT L’EVOLUTION DU CYBERCRIME A-TELLE INFLUENCÉ LES MESURES DE SÉCURITÉ DES ENTREPRISES PRIVÉES ? MATTEO VIOLET-VIANELLO THOMAS BARCLAY 1ES1
2012-2013
SOMMAIRE INTRODUCTION
I. CYBERCRIME ET SON ÉVOLUTION
1- LE CYBERCRIME PAR RAPPORT AU CRIME ‘PHYSIQUE’
2- TYPES DE CYBERCRIMES A- Cybercrime motivé par l’argent B- Le Hacktivisme C- Attaques effectuées par des pays sur des entreprises ou sur d’autres Pays
3- LOIS ET MESURES CONTRE LE CYBERCRIME
II. MESURES DE SÉCURITÉ PRISES PAR LES ENTREPRISES
1- MESURES COMMUNES PRISES PAR LES ENTREPRISES A- Les Antivirus B- Les Pare-feu C- Les Assurances
2- AUTRES MENACES ET MESURES PRISES FACE À CELLES-CI A- Le Phishing (ou Hameçonnage) B- Les Spams
3- COMMENT UNE PME PEUT-ELLE SE PROTÉGER ?
CONCLUSION BIBLIOGRAPHIE
1
INTRODUCTION Nous vivons dans une société qui ne cesse de s’émerveiller face aux innovations technologiques et à la capacité d’innovation que nous possédons. D’innombrables inventions technologiques comme l’ordinateur ou l’internet ne cessent d’être glorifiées comme ayant rendu le monde plus ouvert, plus accessible et permettant une meilleure qualité de vie. Nous voulons sincèrement croire que la technologie peut nous apporter l'utopie qui nous a été promise. Nous sommes dépendants de ces technologies de l’information et de la communication qui, entre les mains d’individus responsables et brillants, apporteront de grands changements pour notre monde. Mais entre les mains d’individus mal intentionnés et de criminels, l’avenir peut être tout a fait différent. Un des côtés les plus obscurs de toutes ces technologies que nous adorons est le cybercrime. La démocratisation de l’accès à l’informatique et la globalisation de l’internet ont été des facteurs de développement du cybercrime. Les criminels ont toujours su exploiter les innovations technologiques comme l’impression qui fut utilisée pour imprimer des pamphlets illégaux ou les téléphones portables utilisés par les cartels de la drogue mexicains. Il y a encore quelques années, la délinquance était synonyme de vol dans un magasin, d'agression ou de meurtre. Aujourd'hui, ces notions prennent une toute nouvelle dimension, une dimension "numérique". Cette dimension est devenue omniprésente. En effet, jamais les sociétés modernes n'ont étés aussi dépendantes des systèmes informatiques et d'internet. Cependant, c'est aussi ce qui les fragilise, elles sont désormais vulnérables aux
virus, chevaux de Troie et autres attaques menées à partir des réseaux. Le cybercrime se manifeste également comme une menace globale qui dépasse les frontières et les pays. Les cybercriminels couvrent un spectre large allant des pays eux-même délinquants jusqu’aux activistes individuels. De plus, la menace que représente le cybercrime est croissante et peut causer bien plus de dégâts qu’aucune autre forme de crime. Un officier de l’armée américaine, dans le contexte des armes cybernétiques, a dit qu’une cyberattaque sur les Etats-Unis « ferait sembler le 11 Septembre come une promenade de santé ». Dans les dernières années, nous avons vu l’explosion du cybercrime avec près de 70% des utilisateurs d’internet qui ont étés victimes de cybercrime. Cela veut dire qui si vous n’avez pas été pas une victime du cybercrime, vous connaissez surement quelqu’un qui en a déjà été victime. Mais de plus en plus, les cybercriminels se tournent vers de grandes entreprises et vers les banques pour lancer leurs attaques. Nous avons donc cherché à comprendre comment le cybercrime est apparu et surtout quelles sont les motivations des cybercriminels pour s’attaquer aux entreprises. Nous avons essayé d’identifier les mesures de sécurité mises en place par les entreprises privées pour se protéger, ainsi que leurs utilisateurs. Le cybercrime étant un phénomène relativement nouveau, nous avons aussi essayé de comprendre quelle était la limite de ces mesures et si elles étaient vraiment efficaces.
2
I. LE CYBERCRIME ET SON ÉVOLUTION 1- LE CYBERCRIME PAR RAPPORT AU CRIME ‘PHYSIQUE’ 2- TYPES DE CYBERCRIMES A- Cybercrime motivé par l’argent B- Le Hacktivisme C- Attaques effectuées par des pays sur des entreprises ou sur d’autres pays
3- LOIS ET MESURES CONTRE LE CYBERCRIME
1- LE CYBERCRIME PAR RAPPORT AU CRIME ‘PHYSIQUE’
Un rapport publié par l'OCDE en Mars 2012 montre que les cambriolages ont baissé de 50% depuis 1996, les vols de voitures ont baissé de 61% dans les 10 dernières années et en général les crimes violents ont baissé l'année dernière dans le monde. Cependant il y a eu une augmentation significative du nombre de cybercrimes qui a augmenté de 225% depuis 2010. Le sentiment d'impunité qui vient avec le cybercrime a contribué à cette forte augmentation. Le fait d'être 'protégé' en quelque sorte par un écran permet au cybercriminel de se détacher du crime qu'il effectue. La plupart des gens qui téléchargent illégalement sur internet ne seraient jamais capables d'effectuer un vol 'physique' comme par exemple voler dans un magasin. De plus, on peut imaginer que le cybercrime ne fait pas de mal aux gens dans le sens où on ne les attaque pas physiquement. Pourtant, on peut facilement mettre les individus en difficulté ou les ruiner complètement en vidant complètement leur compte en banque, par exemple. La vérité est que le cybercrime permet de s’enrichir plus vite et avec moins de risques par rapport à d’autres voies criminelles. Un cybercriminel peut faire plus d’argent en une heure avec un ordinateur portable que par des braquages en une année. C’est donc une des raisons pour lesquelles on voit une explosion du cybercrime. Regar4
dons comment l’évolution de la technologie a permis au crime de se manifester de façon massive : il y a longtemps, le vol s’effectuait d’individu à individu et un voleur ne pouvait braquer qu’une seule personne à la fois. Puis est venue l’innovation d’arrêter des trains en bloquant la voie et on pouvait dérober plusieurs dizaines de personnes à la fois. Plus récemment encore, des hackers ont volé les informations personnelles de 77 millions d’individus lors du hack du PSN (Playstation Network) de Sony. On voit clairement que grâce au cybercrime, les dégâts infligés se démultiplient et prennent une proportion incroyable que le crime ordinaire n’a jamais eue. Un bon exemple pour illustrer cette évolution du monde criminel se trouve dans les films de James Bond. Le premier film de la série James Bond, «Dr. No», sorti en 1962, montre les « méchants » comme étant l’URSS, un grand pays puissant qui possédait comme menace contre le monde des armes nucléaires. Cela est compréhensible car en pleine guerre froide cela reflétait clairement ce dont avaient peur les gens et la menace que représentaient les armes nucléaires à l’époque. Cependant «Skyfall», le plus récent des films de James
Bond sorti en 2012, montre le «vilain » comme étant un seul individu qui grâce à ses capacités informatiques arrive à pénétrer les systèmes de sécurité les plus sophistiqués au monde. Malheureusement, ceci reflète une réalité avec des individus capables d’infliger d’énormes dégâts avec un simple ordinateur. Tous ces facteurs expliquent donc pourquoi, en 2009, le nombre de cybercrimes a dépassé le nombre de crimes ‘physiques’ en France. Un rapport de l’INSEE indique aussi que 61% des patrons d’entreprises françaises croient que le cybercrime leur coûte plus cher que le crime physique. Ces coûts dérivent de la perte de revenu, la perte de clients actuels et futurs et une perte dans la productivité salariale. Le cybercrime qui n’existait donc pas il y a 20 ans est devenu un problème majeur pour les pays, les entreprises et les individus. En effet 1,5 million d’individus sont victimes du cybercrime chaque jour dans le monde c’est à dire 18 victimes par seconde !
Evolution du cybercrime et du crime ‘physique’ de 2005 à 2012 en France 500000
Crimes physiques Cybercrimes
400000 300000 200000 100000 0 2005
2006
2007
2008
2009
2010
2011
2012
Source: UNESCO Institute for statistics, 2012 5
2- TYPES DE CYBERCRIMES A- CYBERCRIME MOTIVÉ PAR L’ARGENT "ARGENT : CAUSE DE TOUT LE MAL.." -FLAUBERT
L’ARGENT AVANT TOUT! Depuis l’apparition du cybercrime, voire du crime en général, la première motivation des malfaiteurs était l’argent, le butin, le fric, le blé… Le cybercrime motivé par l’argent est le crime le plus répandu dans le monde cybernétique. Ces malfrats qui se considèrent intouchables derrière leur écran ne s’arrêtent pas au compte en banque de la personne âgée qui ne se protège pas mais vont jusqu’à hacker des banques, des entreprises et même des pays pour arriver à obtenir leur « salaire ». Il y a de nombreux exemples, même dans le monde autour de nous, de personnes qui se sont fait hacker leur compte en banque ou alors leur compte Amazon ou Fnac. Toute vulnérabilité est exploitée par ces hackers pour atteindre les données qui leur permettent d’accéder à votre argent. Une page Word avec des informations de votre compte en banque, un email avec votre relevé bancaire ou avec la confirmation de votre commande sur Amazon, rien n’est à l’abri d’une intrusion réalisée par un talentueux hacker. Car il est vrai que
6
n’importe qui peut accéder à une adresse mail sans grande difficulté et trouver les informations sans problème dès que le peu de sécurité et de résistance qui leur est présentée est violé. Près de 60% des crimes commis à travers le monde cybernétique sont motivés par l’argent et non commis pour des raisons de hacktivisme ou contre des pays. Il y a d’ailleurs de nombreuses manières pour ces criminels d’obtenir l’argent de leurs victimes. Celles-ci varient du plus facile, obtenir des données bancaires en hackant un email, au plus compliqué en hackant une banque ou une entreprise. Et de même il y a de nombreux types de hackers différents qui réalisent ces infractions dont ils ne mesurent pas ou très peu les conséquences. La société considère le hacker comme un jeune homme sans scrupule, sans emploi, prêt à hacker des milliers de personnes pour des millions d’euros, qui ne sort que très peu de chez lui, passe son temps sur l’ordinateur et ne fait qu’apprendre des lignes de code incompréhensible pour l’homme « normal » ; tout en participant à des organisations internationales illégales qui ont pour but de hacker des banques et des entreprises. La réalité est beaucoup plus banale et dérisoire. La grande majorité des gens que nous considérons comme des « hackers » sont le plus souvent des jeunes qui ne saisissent pas entièrement la conséquence de leurs actions. Ils sont pour le plus souvent étudiants ou alors entre deux emplois et pour gagner un peu d’argent réalisent quelques « petits travaux » pour des sites spécialisés qui collectent des données de cartes bancaires. La majorité ne sait que se servir d’une connexion internet et d’un clavier pour s’introduire dans une adresse email. Tout ce qui est nécessaire pour hacker un site, une adresse mail ou une base de données est accessible très facilement via des sites internet dédiés aux débutants.
HACKS SUR DES PARTICULIERS Ces hackers débutants ne réalisent que des petits crimes ou effractions. Ils peuvent aller de compte en compte Facebook en se servant de la liste d’amis de la personne hackée en espérant trouver des données qui lui permettront d’obtenir des informations plus « intéressantes » ou alors hacker des petits sites internet pour s’entrainer et ensuite se servir de leur talent à profit. Ces hackers ne sont pas ceux qui inquiètent les autorités ni même le public. Ils ne vont rarement plus loin que des petits hacks et ne veulent pas prendre le risque de se faire arrêter pour leurs crimes. Cependant il ne faut tout de même pas sousestimer ces jeunes hackers. Lors d’un Envoyé Spécial de France 2 en 2010, un journaliste a suivi pendant quelques jours 3 jeunes hackers qui ont souhaité garder l’anonymat. Après avoir appris leur « salaire » lié à leurs actions illégales on comprend tout à fait pourquoi ceux-ci ne souhaitaient pas attirer l’attention. Un des hackers avoua qu’il gagnait facilement 12 000€ par mois, lorsque le mois était, selon lui, « mauvais ». Ce salaire lui revient en recherchant des données de cartes bancaires qu’il revend ensuite sur un site spécialisé. Loin d’être un génie de l’informatique, ce jeune criminel fait partie des 10% des Français ayant les salaires les plus élevés ; il est donc facilement imaginable de voir des hackers qualifiés ayant des salaires astronomiques. Le mythe du hacker ayant beaucoup d’argent est bien trop proche de la réalité et est une manière d’échapper à une vie avec des revenus «normaux» pour beaucoup d’informaticiens talentueux. De plus, ce n’est pas comme si une faible minorité de la population de la planète était victime de cybercrime. Par an il y a plus de 556 millions de victimes de cybercrime, ce qui représente plus que la population entière de l’Union Européenne, 1,5 million de personnes sont victimes chaque jour. Ces crimes sont d’autant plus flagrants lorsque l’on se 7
rend compte de la quantité d’argent qui est gagnée grâce à ces crimes. Le chiffre astronomique de 110 Milliards de dollars, soit la valeur annuelle de FastFood consommé par les américains, est hacké chaque année. C’est équivalent au PIB du Tchad ou du Mali et doit souvent être remboursé par les assurances dans le cas des banques ou par les banques elles-mêmes dans le cas des particuliers. Ce budget pour les banques, s’élève facilement en millions d’euros. Il est moins cher pour les banques de rembourser les particuliers hackés que de dépenser des sommes astronomiques pour tenter vainement de se protéger contre ce type d’attaques. HACKS SUR DES ENTREPRISES Cette somme astronomique d’argent ne vient pas seulement de petits hacks d’adresses emails ou de compte Amazon ou Facebook. De nombreux hackers qui sont motivés par l’argent vont jusqu’à attaquer des entreprises. Il y a plusieurs possibilités pour hacker des entreprises et ces jeunes criminels se servent de tous les moyens possibles pour arriver à leurs fins. Premièrement, le hack en lui-même peut, dans certains cas, n’être qu’un outil utilisé par les criminels pour atteindre leur objectif. Ils exploitent leurs talents de hackers pour racketter et menacer l’entreprise. Un exemple montré par France 2 lors de l’émission Envoyé Spécial est celui d’un groupe de 4 jeunes qui ont menacé une entreprise de « tuer » le site de d’une entreprise. Une grande partie de son chiffre d’affaire dépendant du site, 20 000€ par jour, l’entreprise n’avait pas d’autre choix que de céder à ce chantage. Cependant, dans ce cas, l’entreprise a prévenu les autorités et les 4 agresseurs ont été arrêtés et jugés. S’il est condamné, un hacker peut recevoir 5 ans de prison. On assiste donc ici à une sorte de kidnapping virtuel avec une demande de rançon.
OUTILS UTILISES PAR LES HACKERS Cependant, le hack peut aussi être utilisé en tant qu’arme. De nombreux virus sont facilement attrapables en ouvrant un lien ou en allant sur un site spécial ou même en ouvrant un email permettant aux hackers d’enregistrer tous les mots tapés sur l’ordinateur. Donc lorsqu’un individu entre ses données bancaires dans un site tel qu’Amazon, ou eBay, les données sont enregistrées et envoyées à la personne responsable du virus. Ces « chevaux de Troie », comme ils sont communément appelés, sont grandement utilisés par les hackers et permettent de prendre le contrôle de l’ordinateur d’un individu à distance. De plus, il n’est pas seulement possible pour ces criminels de rechercher des informations mais aussi de se servir des ordinateurs piratés pour d’autres actions illégales. Certains préfèrent « tuer » les ordinateurs en appuyant tout simplement sur le bouton « kill » lorsqu’ils ont pris contrôle d’un ordinateur, soit pour enfoncer le couteau dans la plaie, soit croire se protéger en rendant l’ordinateur inutilisable. Ou alors, d’autres gardent ces ordinateurs sous leur contrôle sans le rendre évident pour le propriétaire et quand ils le souhaiteront, s’en serviront pour lancer une attaque en masse sur un site qu’ils souhaitent détruire, on parle ici d’attaque DDoS (Direct Denial of Service).
ALERTE D’UN ANTIVIRUS QUI DÉTECTE UNE INTRUSION
8
De plus, il y a des manières relativement plus simples de s’approprier des données bancaires. La manière la plus connue et probablement la plus facile est celle de créer un faux site internet et de proposer aux utilisateurs de donner leurs informations de cartes bancaires pour recevoir un service qui, bien entendu dans ce cas, sera fictif. Cette technique est énormément utilisée et de nombreux hackers s’infiltrent d’abord dans des comptes mails ou de réseaux sociaux de particuliers. Après infiltration, il est donc possible pour ces hackers d’envoyer des emails ayant une allure familière en demandant de remplir un formulaire sur un certain site piège ou alors de télécharger un certain dossier. Et, étant donné que cette demande vient d’une personne que l’individu connaît personnellement, il est rare que celui-ci recontactera l’émetteur hacké pour vérifier. C’est avec ces outils simples et efficaces que ces hackers prennent le contrôle de comptes bancaires pour leur propre profit.
des sommes astronomiques pour essayer de se protéger vainement. Le vrai problème, est que le sentiment de sécurité sur internet qui à pris des années à s’installer dans l’esprit de la population est en train de disparaître. La police qui est chargée d’attraper ces criminels est débordée et n’a pas les moyens d’être en concurrence avec les hackers de génie de Russie ou de Chine . La Russie elle-même ne fait rien pour les arrêter et refuse même, non ouvertement, d’aider les autorités internationales. Donc le vrai problème est-il causé par les hackers ou alors par la mentalité de internautes qui ont, inévitablement, baissé les bras et ne se préoccupent plus de ces hackers en considérant cela comme une fatalité ou la « routine » ?
UNE MENACE PERSISTANTE Le cybercrime motivé par l’argent est le cybercrime le plus présent dans le monde informatique et les criminels qui en sont responsables sont nombreux, divers et variés. Les « Black-Hats » ou Chapeaux Noirs sont des hackers qui ont décidé de pencher vers l’illégalité et tomber dans le monde du cybercrime. D’autre part, les « White-Hats » sont des hackers qui effectuent cela pour le plaisir sans but lucratif et parfois proposent leurs services aux entreprises pour les aider à se défendre. Que ce soit en utilisant un simple virus, créé par eux-mêmes ou acheté sur internet ou alors en hackant des banques internationales, les hackers d’aujourd’hui sont de plus en plus dangereux et font de plus en plus de dégâts. Cependant la population française et même internationale ne se sent pas prête à s’attaquer à ces criminels. Les banques et entreprises préfèrent se servir de leur assurance pour rembourser les dommages que de dépenser 9
B- LE HACKTIVISME « NOUS NE PARDONNONS PAS, NOUS N'OUBLIONS PAS, REDOUTEZ-NOUS! » - ANONYMOUS
QU’EST CE QUE LE HACKTIVISME ? De l’attaque du site web du FBI par Anonymous, à l’attaque du gouvernement Syrien sur son opposition en ligne, les hacktivistes ont fait la une des médias du monde cette année. Autrefois réservé à une minorité d’individus, le hacktivisme a finalement prouvé être une arme dévastatrice de l’ère digitale. Le hacktivisme est en train de marquer une transition de pouvoir entre les citoyens, les gouvernements et d’autres acteurs transnationaux. L'activisme désigne un engagement politique privilégiant l'action directe. Les activistes Greenpeace qui vont en mer bloquer des expéditions de chasse de baleines ou encore les manifestations dans la rue contre le port de la fourrure représentent des formes d’activisme. Certains considèrent les actions de l’ETA en Espagne comme de l’activisme, cependant la majorité des gens considèrent cela comme du terrorisme politique. Même si l’argent reste la principale motivation du cyber crime, certains groupes de hackers ont d’autres motivations. Ils sont souvent guidés par des intérêts politiques, économiques ou religieux qui peuvent dépasser les frontières. Leurs actions sont appelées hacktivisme : une contraction de hacker et activisme. Les hacktivistes infil10
trent les réseaux et emploient leurs talents au service de leurs croyances en organisant des attaques telles qu’infiltrer des serveurs ou remplacer les écrans d’accueil de certains sites avec des messages idéologiques. Quand ils le peuvent, ces militants visent des sites gouvernementaux ou administratifs dans l’espoir de les bloquer ou d’attirer l’attention des médias. HISTOIRE RECENTE DU HACKTIVISME. Le premier acte d’hacktivisme référencé remonte à Octobre 1989 lorsque, en protestation contre l’armement nucléaire, le Département américain de l’Énergie et la NASA ont été pénétrés par le ver informatique WANK. Le ver WANK a pénétré les ordinateurs et a changé les écrans de connexion en affichant dessus le message « Vous parlez de paix pour tous, mais vous préparez la guerre. » Cependant, le phénomène fut médiatisé plus globalement lors de l’attaque en 2007 contre l’Estonie. Tout commença par une action symbolique, l'enlèvement dans un jardin public de Tallin, la capitale de l'Estonie, d'un mémorial de guerre datant de la période soviétique. Pour l'Estonie, c'était une façon d'affirmer un peu plus la jeune indépendance du pays face au grand voisin russe. Mais à Moscou, certains y ont vu au mieux une provocation, ou pire un outrage et la réplique fut terrible. En quelques heures, ce pays, qui compte parmi les plus connectés d'Europe, fut l'objet d'une série d'attaques DDoS sans précédent à l'échelle d'un pays. Les sites gouvernementaux furent les premiers visés. Puis vint le tour des banques, des médias et des partis politiques. Le numéro des urgences, tels que les ambulances ou la police, est même resté indisponible pendant plus d'une heure. Malgré plusieurs démentis, la suspicion tomba vite sur des nationalistes russes supportés par le Kremlin. En Mars 2009, Konstantin Golosokov, un activiste Russe de 22 ans, a revendiqué la responsabilité
des attaques, cependant il a catégoriquement nié tout soutien des autorités russes. Par contre, son association avec Nashi, un jeune groupe antifasciste, est suspecte. Créé après l’initiative de Vladimir Putin quand il était président de la Russie en 2005, cette organisation parfois violente est très proche du gouvernement russe. Il faut aussi noter que les attaques contre l’Estonie ont conduit à la création d’un centre de cyber défense au centre de la capitale de l’Estonie par l’OTAN. La Chine a aussi de nombreux groupes de jeunes hackers qui ont maitrisé les techniques d’intrusion et altération de sites web. Ces groupes comprennent Red Hackers Alliance, China Eagle Union, Green Army et bien d’autres. Plusieurs sites officiels taïwanais, américains et japonais ont étés attaqués par ces groupes. Ici encore, les liens entre ces groupes et les gouvernements sont durs à établir. Ces attaques entreprises par les pays, ou des groupes portant un message idéologique ou politique correspondant à celles de leur pays, ne sont pas effectuées dans un but d’espionnage ou lucratif et donc tombent dans la catégorie de l’hacktivisme. LE GROUPE DE HACKTIVISTES ANONYMOUS Cependant, le groupe de hacktivistes Anonymous ne tombe pas dans cette catégorie et au contraire dépasse toutes les frontières. Depuis la création du groupe, les membres d'Anonymous manifestent et dénoncent ce qu'ils considèrent être des atteintes à la liberté d'expression face à l’abus de pouvoirs des gouvernements et des entreprises. Anonymous n'étant ni une organisation, ni un quelconque club, il est impossible de rejoindre officiellement Anonymous: il n'y a pas de leadership, pas de frais, pas de classement, et aucun moyen de communication unique. Anonymous est réparti sur plusieurs médias en plusieurs langues. Le nom Anonymous est donc considéré comme un mot fourre-tout désignant des membres de certaines communautés d'internautes agissant de manière anonyme dans un but particu11
lier. Les actions informatiques et physiques attribuées à Anonymous sont entreprises par des activistes non-identifiés et lors des manifestations physiques du collectif, les membres sont généralement masqués.
connectent tous au même site web et causent un trafic tellement important que ce site s’effondre et est indisponible pour tous les autres utilisateurs. Ces attaques ne "réussissent" que si de nombreux internautes y participent. Ont ainsi été rendus inaccessibles les sites du FBI, du ministère de la justice américain, des maisons de disques Universal, EMI et Warner, de Disney, de l'association professionnelle du disque RIAA et de biens d’autres.
Selon Chris Lander, du Baltimore City Paper, “Anonymous est la première super conscience construite à l'aide de l'Internet. Anonymous est un groupe semblable à une volée d'oiseaux. Comment savez-vous que c'est un groupe ? Parce qu'ils voyaDe plus en plus, les individus et les mouvegent dans la même direction. À tout moment, des ments sociaux utilisent le cybercrime pour faire enoiseaux peuvent rejoindre ou quitter le groupe, ou tendre leurs messages. Ils ne se considèrent pas aller dans une direction totalement contraire à ce comme des criminels mais plutôt comme des défendernier.” Cela démontre, malgré le fait que le groupe seurs d’une cause noble. Pourtant, les hacktivistes Anonymous suit un mouvement général, qu’il est dur peuvent représenter une menace pour les gouvernede définir où commence et où s’arrête ce mouve- ments et pour les entreprises auxquels ils s’attament Anonymous. A plusieurs reprises, des actions quent. En effet, le hacktivisme représente 37% des entreprises par des individus ont étés revendiquées cybercrimes en 2011. en tant qu’une action d’Anonymous même si ces attaques allaient contre la philosophie générale du Motivations derrière les attaques cybercriminelles mouvement. On peut donc dire que, qu’Anonymous plutôt que d’être un groupe est un mouvement large qui regroupe plusieurs individus et actions. 4 % Récemment, les Anonymous ont été en effervescence. Le mouvement d'internautes multiplie les attaques contre une multitude de sites depuis la fermeture de Megaupload, le 19 Janvier 2012, site largement utilisé pour le téléchargement illégal. Pour se venger, les cyber-militants ont lancé « l'opération Megaupload » rassemblant jusqu'à 27.000 internautes. D’après Gabriel Linder, Responsable de la sécurité de la plateforme au niveau logiciel chez Jeuxvideo.com, que nous avons interviewé, “Anonymous a grandement contribué à faciliter et démocratiser le processus d’attaques sur internet.” Le collectif Anonymous multiplie les "attaques de déni de service" (dite de "DDoS") qui consistent à surcharger un site de requêtes jusqu'à sa saturation et sa mise hors service. Des milliers d’ordinateurs se
37 %
59 %
Hacktivisme Motivé par l’argent Cyber Warfare et Espionnage Source: http://hackmageddon.com
12
C- ATTAQUES EFFECTUÉES PAR DES PAYS SUR DES ENTREPRISES OU SUR D’AUTRES PAYS « L'ART DE LA GUERRE, C'EST SOUMETTRE L'ENNEMI SANS COMBAT.» - SUN TZE, L’ART DE LA GUERRE
L’APPARITION DES ARMES CYBERNETIQUES Jusqu’à présent, les seules armes que possédait un pays se limitaient à son armée et à son pouvoir économique. Les pays se déclaraient la guerre ou alors réalisaient un boycott économique contre leurs ennemis. Cependant, à partir de maintenant, les pays utilisent des armes cybernétiques pour s’attaquer et s’acharner sur des entreprises privées. Ces attaques sont souvent des tentatives d’espionnage sur des personnes spécifiques ou même des organisations tout entières. De nombreux pays sont en plein développement de leurs secteurs cybernétiques et recrutent, avec l’aide d’organismes internationaux, tel que l’ONU, des hackers pour améliorer leur système de défense. LA CHINE ATTAQUE GOOGLE L’exemple le plus connu et le plus flagrant d’une attaque cybernétique réalisée par un pays, est l’attaque effectuée par la Chine contre Google en 2010, lors de laquelle la Chine s’était infiltrée à l’intérieur des bases de données du géant de l’informatique. Le but était de récupérer des informations sur des activistes des droits de l’homme sur lesquels l’Etat Chinois souhaitait avoir des indications spécifiques. Ce ne fut pas une attaque directe sur Google, l’objectif 13
de l’Etat Chinois étant de seulement d’obtenir des renseignements pour ensuite s’attaquer ou agir contre des activistes que le gouvernement du pays considérait comme « dangereux ». Même si peu de comptes ont été consultés, ce fut une des premières fois qu’un pays attaquait ouvertement une entreprise. Le but de l’Etat Chinois n’était pas d’attaquer Google en tant qu’entreprise cependant ce fut quand même un choc de se rendre compte que la sécurité d’un géant du monde informatique avait été violée. Google fut rapide à réagir lorsque cette intrusion fut découverte en mettant sous le feu du scandale la dictature communiste. Ce fut une des premières occasions où le public réalisa qu’une guerre cybernétique n’était plus un mythe, mais comme l’avait montré cette attaque mineure, une réalité tout à fait envisageable. LES CYBERARMES DANS LE CONFLIT EN SYRIE Lors des conflits récents en Syrie, le gouvernement d’Al-Assad a employé des hackers pour pouvoir garder un œil sur les rebelles. L’Etat Syrien utilisait ses hackers pour rechercher les lieux d’implantations de bases rebelles et des informations sur les temps et lieux de déplacement des troupes ennemies. Le gouvernement avait créé des centres entiers dans lesquels les informaticiens travaillaient en permanence. Cela se révéla être une technique d’espionnage redoutable pour s’informer sur son ennemi, dans ce cas l’opposition au régime Syrien. Cela voudrait dire que l’utilisation de l’espionnage cybernétique ne serait pas absente des prochains conflits ayant prouvé son utilité comme arme redoutable.
nuire à la réputation d’une entreprise telle que Google ou même d’un pays tel que l’Estonie lorsqu’elle fut soumise par des attaques d’hacktivistes russes. Aujourd’hui, plus que jamais dans un monde tant tourné vers la concurrence, la réputation d’une entreprise peut déterminer si oui ou non celle-ci a du succès. Donc une attaque sur la réputation d’une entreprise passant par des armes cybernétiques serait extrêmement efficace. On peut penser à Sony qui, lorsque son « Playstation Network » fut attaqué, a subi une augmentation de 200% de la revente de ses consoles par des particuliers qui se sont tournés vers le concurrent directe du géant Japonais, Microsoft avec sa Xbox 360. Pour éviter cela de nombreux pays ou entreprises commencent à recruter des hackers pour les aider à se défendre contre ces types d’attaques ou même pour en réaliser à leur tour. L’Etat Chinois, par exemple, en a recruté énormément pour renforcer son centre informatique de défense, et comme nous l’avons vu avec Google, qui sert aussi de centre d’attaque. Pour recruter ces hackers, il y a maintenant de nombreuses organisations qui permettent de les localiser et les contacter. Une des principales est celle de UNICRI (United Nation International Crime and Justice Research Institute) qui s’appelle Hackers Profiling Project (HPP). Nouvelle organisation des Nations Unies, celle-ci est responsable de la prise de contact et du recrutement d’hackers pour
RECRUTER DES HACKERS ? Que ce soit en temps de guerre ou de paix, c’est de moins en moins rare de voir ou découvrir que des pays, s’attaquent à des entreprises ou à d’autres gouvernements pour avoir des informations. Ces attaques peuvent aller même jusqu’à
LOGO DE L'ORGANISATION HPP
14
ensuite les mettre en relation avec des entreprises ou pays pour qu’ils puissent ensuite les recruter. Ces hackers sont recrutés pour aider leurs employeurs à se protéger contre des attaques. Il arrive souvent que des Etats recrutent des hackers emprisonnés après leur libération. Les Etats Unis font cette opération très souvent et recrutent les hackers qui ont essayé d’hacker le gouvernement américain. Lorsque le FBI arrête un hacker, ses informations sont gardées dans une base de données et, si nécessaire, l’organisation gouvernementale a donc les moyens de recontacter ce criminel pour que celui-ci rejoigne ses rangs.
pour ensuite les corriger. Ces entreprises spécialisées sont très souvent formées, elles même, d’hackers qui se sont tournés vers une voie plus « juste » et surtout, plus légale. LA CYBERARME, L’ARME DU FUTUR L’arme du futur qu’est l’arme cybernétique est en fait bel et bien l’arme d’aujourd’hui. Que ce soit les pays ou les entreprises, tous souhaitent être à la hauteur pour se protéger contre ces attaques venant du monde virtuel. Aucun pays ne souhaite être affaibli comme l’a été l’Estonie lors des attaques effectuées contre celle-ci par les hackers Russes. Ou alors perdre sa réputation et clientèle comme Sony lorsque son centre de jeu fut piraté il y a à peine un an. Et tous font face à ces risques en développant leur centre de défense avec l’aide d’hacker ou de systèmes de défense automatisés.
Il est de moins en moins rare de voir d’anciens hackers travailler pour des organisations gouvernementales. Celles ci s’en servent pour refermer et protéger les failles de sécurité qui peuvent se trouver dans leur système informatique et ces organisations souhaitent se servir des talents d’anciens cyRépartition du cybercrime entre pays en 2012 bercriminels pour se protéger. Kevin Poulsen, Kevin Mitnick, Adrian Lamo, ne sont que quelques exemples de hackers ayant aidé ou rejoint le FBI après avoir été arrêtés pour des crimes liés à l’in4% 5% formatique. Mitnik par exemple, plus connu sous 6% le pseudonyme de “Le Condor”, s’infiltra à l’intérieur de Fujitsu, Motorola, Nokia, Sun Microsys9% tems et arriva même à accéder aux bases de données du Pentagone. Celui-ci après avoir 52% passé du temps en prison fut recruté par le FBI et est maintenant co-fondateur de la société Defensive Thinking et même écrivain. Aux États Unis, il 23% a été découvert que 25% des hackers dans le pays rapportent des informations à l’institution gouvernementale, soit suite à des menaces ou par intérêt personnel. De plus, il est courant que des entreprises souhaitant améliorer leur système de défense recrutent des entreprises spécialisées dans le hacking. Celles-ci ont pour rôle de s’infiltrer dans l’entreprise « cible » et noter toutes les failles dans les défenses
Etats-Unis Allemagne Grande-Bretagne
Chine Brazil Autres
Source: ASA (American Statistics Association), 2012
15
3- LOIS ET MESURES POUR LUTTER CONTRE LE CYBERCRIME
LE CYBERCRIME, UNE NOUVELLE FORME DE CRIME! Le cybercrime étant un phénomène relativement nouveau, les lois de plusieurs pays n’interdisent pas explicitement le cybercrime. Les lois mises en place contre les crimes « physiques » comme rentrer par effraction dans le domicile de quelqu’un ou le vol ne couvrent pas leur équivalent « virtuel ». Les pays cherchent donc de plus en plus, avec l’aide d’entreprises et d’autres pays, à développer des lois et des mesures efficaces à la lutte contre le cybercrime. Le système législatif français a commencé à percevoir l’informatique comme un instrument criminogène à partir des années 1980. La première mesure instaurée fut la loi « Godfrain » le 5 janvier 1988 qui visait à assurer la sécurité des systèmes d’information et à réprimer la fraude informatique. Les délits informatiques se trouvent alors désormais codifiés dans les articles 323-1 et suivants du code pénal français, dans la section « des délits contre les systèmes de traitement automatisé de données ». En matière de cybercrime, les délits les plus courants sont le vol et le chantage. Il s’agit pour le vol de s’approprier des fichiers de données ou des codes, soit pour en bénéficier à titre personnel, soit pour les revendre à des entreprises concurrentes ou à d’autres utilisateurs. Dans ce cas, ce délit devrait être sanctionné par les articles 16
323-1 et 323-2 du code pénal français. En raison de l'interprétation stricte de la loi pénale, le vol n'est pas une infraction pouvant s'appliquer aux fichiers informatiques et donc le fait de voler es fichiers « virtuels » n’est pas explicitement illégale en France ainsi que dans d’autres pays. JUSTICE FRANCAISE CONTRE LE CYBERCRIME Si la justice Française décide de punir un individu sous les articles 323-1 et 323-2 du code pénal, celui-ci peut encourir des sanctions comme : -2 ans d’emprisonnement ou 30 000 euros d’amende pour le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données. 3 ans d’emprisonnement et 45 000 euros d’amende pour le même délit lorsqu’il en est résulté soit de la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système. 5 ans d’emprisonnement et 75 000 euros d’amende, le fait d’entraver ou de fausser le fonctionnement d’un système automatisé de données. De plus, l’article L. 341-1 du Code de la propriété intellectuelle interdit « l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support par tout moyen ou sous toute forme que ce soit… ». Le non-respect de cet article peut entrainer des sanctions de 3 ans d’emprisonnement et 300 000 euros d’amende ou 5 ans d’emprisonnement et 500 000 euros d’amende lorsque le délit a été commis en bande organisée. Beaucoup de pays ont pris des lois et des mesures différentes pour lutter contre le cybercrime et la France n’est qu’un exemple parmi d’autres.
COOPERATION GLOBALE CONTRE LE CYBERCRIME Cependant, le cybercrime est un phénomène global qui dépasse les frontières des pays et leur souveraineté nationale. Il y a donc une nécessité d’établir des règles qui s’étendent à l’extérieur des pays et qui aident à lutter contre le phénomène mondial de la cybercriminalité. C’est ce sentiment de solidarité dans la lutte contre le cybercrime qui a poussé les membres de l’Union Européenne à adopter la Convention sur la cybercriminalité, à Budapest, le 8 novembre 2011. La Convention sur la cybercriminalité est le premier instrument de droit international conventionnel contraignant spécifiquement élaboré pour lutter contre la criminalité affectant les systèmes, réseaux et données informatiques Ce traité couvre tous les aspects de la cybercriminalité, y compris l'accès illégal, l'interception illégale de données, les interférences au fonctionnement des systèmes, le détournement des équipements, les activités de contrefaçon, la fraude informatique, la pornographie infantile ainsi que les violations aux droits d'auteurs et aux droits voisins. Le traité offre un cadre légal à la lutte contre la cybercriminalité et favorise l'échange d'informations entre les pays signataires. La convention a été signée par 46 pays (Convention on Cybercrime). Elle a été ratifiée par 24 d'entre eux. La Chine, plusieurs pays d'Amérique Latine ou la Russie, considérés comme les premiers pays producteurs de programmes malveillants ne l’ont pas ratifiée. LOIS CONTRE LE PIRATAGE Cependant, les lois les plus répandues et les plus controversées sont les lois qui ont pour but de protéger la propriété intellectuelle sur internet. Celles-ci condamnent le téléchargement illégal, aussi appellé piratage, une des grandes menaces cybercriminelles qu’affrontent certaines entreprises 17
comme les entreprises de production musicales. En effet, en 2008, 95% des chansons téléchargées sur internet furent téléchargées illégalement. Ces lois sont très discutées et critiquées car beaucoup de gens considèrent qu'elles portent atteinte à la liberté d'expression et qu'elles constituent un effort des gouvernements à contrôler l'internet. Ces lois incluent notamment SOPA (Stop Online Piracy Act) et PIPA aux Etats-Unis ou Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet) en France.
constituer des vrais risques. Il est important et nécessaire de distinguer les secteurs variés qui constituent le cybercrime pour pouvoir se battre contre cette menace avec plus d’efficacité. Si l’on souhaite se défendre effectivement contre la nouvelle menace qu’est le cybercrime, il faut pousser la coopération entre pays et développer des lois qui puissent habilement défendre les individus et les entreprises.
Même les géants informatiques tels que Google ou Wikipédia se révoltent contre les mesures que souhaitent adopter des lois comme SOPA ou PIPA pour que le gouvernement puisse contrôler et censurer certaines informations sur internet. Pour proclamer leur désaccord et apporter son soutien, Google a ‘censuré’ leur logo sur leur page d’accueil durant une journée entière en le couvrant d’un rectangle noir (voir photo). Même le site Wikipédia a été rendu indisponible pendant la journée du 18 janvier 2012 afin de protester contre les projets SOPA et PIPA et de sensibiliser les utilisateurs aux enjeux de ces deux propositions de loi. Pourtant on considère que ces mesures ont fortement influencé le téléchargement illégal car 95% des personnes ayant reçu un avertissement émanant de Hadopi parce qu’ils téléchargeaient illégalement, ont arrêté de le faire. Malgré cela ces lois nécessitent de grands moyens pour être déployées et, d’après les statistiques, les internautes ont autant de chances d'être attrapés par HADOPI que de gagner au loto.
PAGES D’ACCUEIL DE GOOGLE ET WIKIPÉDIA EN PROTESTATION CONTRE SOPA ET PIPA
Donc, la grande majorité des sanctions et des lois contre le cybercrime ne visent que le téléchargement illégal, qui malgré le fait qu’il représente une grande majorité des actions illégales effectuées sur internet, ne représente pas un vrai ‘risque’ aux individus ou aux entreprises comme par exemple le cyber-espionnage ou le cyber-bullying qui peuvent 18
II. MESURES DE SÉCURITÉ PRISES PAR LES ENTREPRISES 1- MESURES COMMUNES PRISES PAR LES ENTREPRISES A- Les Antivirus B- Les Pare-feu C- Les Assurances
2- AUTRES MENACES ET MESURES PRISES FACE À CELLES-CI A- Le Phishing (ou Hameçonnage) b- Les Spams
3- COMMENT UNE PME PEUT-ELLE SE PROTEGER ?
1- MESURES COMMUNES PRISES PAR LES ENTREPRISES A- LES ANTIVIRUS «UN VIRUS INEFFICACE TUE SON HÔTE. UN VIRUS INTELLIGENT RESTE AVEC LUI.» JAMES LOVELOCK
Qu’il soit gratuit ou payant, il y a de nombreux types d’antivirus qui fonctionnent en suivant différentes méthodes, plus ou moins efficaces. Il est impossible pour des entreprises et des particuliers de prétendre avoir des documents sûrs ou alors un ordinateur sécurisé, lorsqu’un antivirus n’est pas installé sur la machine en question. Un virus peut être transmis dans un email de son meilleur ami ou alors dans un lien qui était sensé révéler les 3 étapes simples pour devenir millionnaire. Il est donc nécessaire d’avoir un programme qui vérifie tout ce à quoi l’ordinateur est confronté pour pouvoir dormir tranquille en sachant que ce qui est sur sa machine est sécurisé. Surtout lorsque l’on sait que la majorité des virus s’infiltrent dans les ordinateurs sans que le propriétaire s’en rende compte (Spywares ou Malwares). QU’EST CE QU’UN ANTIVIRUS ? Contrairement à ce qui est pensé, un antivirus n’est pas seulement un logiciel qui élimine tout simplement les virus de l’ordinateur en un coup. Tout d’abord, les virus ne sont qu’une partie des 20
éléments malveillants qui sont détectés et détruits par les antivirus. L’antivirus réalise de nombreuses opérations pour protéger l’ordinateur de l’utilisateur. Ces opérations consistent à vérifier tous les fichiers créés et tous les emails reçus mais aussi la mémoire-vive de l’ordinateur et les médias amovibles tels que les CDs, clefs USB et DVD. Ces antivirus sont le plus souvent commercialisés par des entreprises privées cependant la majorité des antivirus gratuits tel que Avast sont tout aussi bons, pour les particuliers, que les logiciels vendus sur le marché. Pour une entreprise il est bien entendu fortement conseillé d’avoir un système de protection qui est fourni par une entreprise ou un groupe spécialisé. Différentes méthodes de fonctionnement sont utilisées par les antivirus pour protéger les ordinateurs. La majorité des antivirus se concentrent sur les « signatures » des virus qu’ils comparent avec les informations dans leur base de données, dans laquelle sont regroupées toutes ces signatures, pour ensuite identifier les virus rencontrés. Cette méthode est souvent utilisée avec l’approche dictionnaire que nous allons voir un peu plus loin. La méthode heuristique, elle, est la technique la plus puissante sur le marché cependant très peu d’antivirus utilisent cette méthode d’analyse par faute d’un inconvénient majeur. En regardant des comportements anormaux, cette technique permet de découvrir des codes malveillants. Cependant cette méthode ne fait qu’ analyser les débuts de chaque code pour tenter de trouver des ressemblances avec des virus connus, il y a donc souvent de fausses alertes qui sont déclenchées lorsque l’antivirus croit reconnaître un malware (logiciel malveillant). C’est pour cette raison que très peu d’antivirus utilisent cette méthode d’analyse pour leur système de défense.
isée et une des plus fiables. Cependant elle comporte un inconvénient fatal qui la rend dérisoire si mal gérée. Cette approche consiste à enregistrer des informations sur les virus préalablement détectés et enregistrés par les développeurs de l’antivirus. Comme son nom l’indique, il y a donc la création d’un « dictionnaire » dans lequel sont stockées toutes ces informations nécessaires à la détection des malwares. Ce dernier sera ensuite implémenté dans l’antivirus et, à chaque fois qu’un fichier analysé par le logiciel comportera une de ces informations présentes dans le dictionnaire, l’antivirus agira de manière convenable pour protéger l’ordinateur. Cependant un inconvénient majeur empêche cette approche d’être la plus efficace possible. L’antivirus, avec l’approche dictionnaire, ne détectera que les virus dont les informations sont présentes dans sa base de données. Cela veut dire qu’il faut constamment mettre à jour l’antivirus pour qu’il soit le plus efficace possible et si un virus qui n’a jamais été rencontré par l’antivirus s’infiltre, le logiciel de défense ne s’en rendra pas compte. Une équipe chez le fabricant de l’antivirus doit donc continuellement analyser et rechercher de nouveaux virus, pour ensuite prendre en compte les informations récoltées dans des mises à jours régulières de l’antivirus. En plus de la méthode dictionnaire, de nombreux antivirus utilisent une technique que la majorité des utilisateurs PC et même Mac connaissent sans forcément y faire attention. La méthode Liste Blanche est utilisée par une majorité d’antivirus aujourd’hui. Au lieu de rechercher de nouveaux antivirus et d’essayer de les empêcher de s’exécuter,
Avec ces différentes méthodes de fonctionnement, il y a un grand nombre d’approches qui sont utilisées pour rendre ces méthodes optimales. L’approche dictionnaire est la plus connue, la plus utilALERTE D’ANTIVIRUS NORTON
21
cette technique empêche l’ouverture de tous les programmes à l’exception de ceux qui sont considérés comme fiables par l’utilisateur. Donc lorsque le consommateur souhaite ouvrir un fichier, un document ou un logiciel, il lui est demandé si oui ou non il considère cet élément comme étant fiable. En adoptant une méthode de blocage automatique on évite l’exécution accidentelle de logiciels indésirables. Cependant cette liste n’est utile que si elle est mise à jour manuellement par l’administrateur pour éviter le blocage de ses logiciels et documents. Il y a aussi des méthodes plus efficaces que de juste stocker un grand nombre d’informations sur des virus dans une base de données en espérant que tous les virus rencontrés feront partie de la liste. Une autre approche consiste à détecter les comportements suspects des programmes présents sur l’ordinateur pour ensuite aviser l’utilisateur en lui indiquant les mesures à suivre. Cependant cette méthode est de moins en moins utilisée pour la simple raison que la grande quantité de fausses alertes rendent le bouton « Accepter » un réflex pour l’utilisateur donc lorsqu’un vrai virus est détecté, la majorité des utilisateurs appuient tout de même sur « Accepter ». Le même problème est présent avec la Liste Blanche car l’utilisateur accepte automatiquement l’ouverture des fichiers et logiciels qu’il considère tous comme étant fiables sans forcément le savoir avec certitude.
servir d’internet. Il est de plus en plus commun pour des sociétés, grandes ou petites, d’avoir des bases de données avec des informations sur leurs clients. Ces bases de données doivent être protégées puisqu’elles contiennent souvent des informations confidentielles et sont essentielles pour le bon fonctionnement de l’entreprise concernée. Pour une entreprise, un antivirus est une grosse partie du budget alloué à l’informatique ou la bureautique. Pour un antivirus qui comporte tout ce dont une entreprise pourrait avoir besoin, le prix moyen est de 840€ par an pour une entreprise ne comprenant que 10 employés. Ce prix est considérablement plus élevé pour de grandes entreprises qui souhaitent sécuriser plusieurs centaines voir milliers de postes informatiques. C’est d’ailleurs pourquoi, en France, 12% des entreprises utilisent des antivirus gratuits. Pour un particulier, la différence entre un antivirus gratuit et un antivirus payant est limitée. Alors que pour une entreprise, c’est une très grosse prise de risque que de ne pas prendre un antivirus digne de ce nom et distribué par une entreprise spécialisée. Un antivirus est donc un outil indispensable pour toute entreprise souhaitant garder une base de données sécurisée. Il est encore plus important de
ENTREPRISES ET ANTIVIRUS Les principaux clients des développeurs d’antivirus sont les entreprises. Celles-ci ne peuvent pas se permettre de ne pas avoir de protection pour tout ce qui est lié à l’informatique. Aujourd’hui, presque toutes les entreprises dans tous les secteurs se servent d’ordinateurs, d’internet et envoient et reçoivent des emails. Si l’utilisation du secteur informatique s’arrêtait à cela, un antivirus serait tout de même indispensable. Cependant, la majorité des entreprises ne s’arrêtent pas à juste envoyer des emails et à se
LES ENTREPRISES ONT BESOIN DE SE DÉFENDRE CONTRE LES VIRUS.
22
protéger ces informations lorsqu’il est question de données bancaires dans le cas des banques ou alors d’adresses email ou numéros de téléphone dans n’importe qu’elle autre entreprise gardant un fichier client. C’est pourquoi il y a aujourd’hui plus de 40 antivirus gratuits et payants à disposition des particuliers et des entreprises. Cependant ces antivirus ne protègent que très peu lorsqu’ils sont confrontés à des attaques venant d’hackers spécialisés avec des objectifs précis. Leur efficacité est limitée au Cheval de Troie qui circule sur une chaine d’emails ou alors le Spyware envoyé accidentellement par un ami. Le moyen de vraiment sécuriser son centre informatique n’est pas en installant une centaine d’antivirus, mais en apprenant aux employés le code de conduite sur internet. Apprendre à ses employés de ne pas ouvrir d’email venant de personne que l’on ne connaît pas ou ne pas télécharger quoi que ce soit sans le faire scanner par un antivirus. Le vrai danger est l’ignorance. G-DATA: ENTREPRISE D’ANTIVIRUS G Data software est une société allemande spécialisée dans l’édition de logiciels de sécurité. Créée en 1985 à Bochum, G-Data emploie aujourd’hui plus de 250 personnes et les produits G Data sont distribués dans plus de 60 pays à travers le monde. G Data propose des produits aux particuliers (G Data Antivirus, G Data Internet Security ou G Data Total Care). Cependant, elle propose également des produits aux grandes entreprises et aux PME comme G Data Antivirus Business ou G Data Antivirus Entreprise. Nous avons eu l’opportunité d’interviewer Jérôme Granger, Manager de Relations Publiques chez G Data. Il a partagé avec nous son point de
vue sur l’évolution du cybercrime et les produits que G Data propose aux entreprises. Il nous a également informé sur la limite de ces mesures et la vulnérabilité des entreprises. Un simple antivirus ne suffit pas à arrêter les cybercriminels. INTERVIEW G-DATA (Jérôme Granger, Manager des Relations Publiques France) D’après vous, comment le paysage du crime contre les entreprises a-t-il changé avec l’apparition et l’évolution du cybercrime ? Depuis toujours, les entreprises ont été des cibles privilégiées pour les attaques, mais en 20 ans les techniques et les objectifs des attaquants ont beaucoup évolué. Dans les années 90, le “social engineering” passait bien souvent par la consultation des poubelles de l’entreprise. Trouver le nom du responsable informatique, du dirigeant ou de l’assistante nécessitait un travail de recherche minutieux. Une démarche nécessaire à toute attaque visant à prendre le contrôle d’un serveur ou de la ligne téléphonique de l’entreprise afin de réaliser des attaques de plus grande ampleur (DDoS par exemple). A l’époque, beaucoup d’attaques étaient seulement menées pour démontrer les faiblesses d’une entreprise ou d’une technologie. Le pirate souhaitait une reconnaissance publique de ces capacités. Aujourd’hui, avec la surexposition des entreprises sur Internet, la recherche d’information est facilitée, si bien que trouver des noms de responsable dans une entreprise est à la portée de tous. Les points d’entrées sont aussi multiples. Si l’entreprise est bien sécurisée, l’employé est peut-être moins regardant dans sa vie privée numérique. En infectant son ordinateur personnel ou son téléphone il est possible que ce code arrive d’une manière ou d’une autre dans l’entreprise. Si le travail de l’attaquant est facilité, les raisons pour lesquelles il réalise ces actions
JÊROME GRANGER
23
ont aussi beaucoup évolué. Aujourd’hui, le gain financier est au bout de l’attaque. Récupérer une base de données, prendre le contrôle du réseau, accéder aux emails de l’entreprise, etc. tout cela a un prix sur le marché cybercriminel (BlackMarket). Dans ces places de marché parallèle, tout s’achète et tout se vend : les spammeurs achètent de nouvelles adresses email et vendent leur service d’envoi, quand d’autres achètent des codes ou des Exploits Kit et proposent à la location des accès à des réseaux de Botnet (un botnet est un ensemble de bots informatiques qui sont reliés entre eux) etc. Cette manne financière induit une forte augmentation des attaques ciblées visant les entreprises, car c’est ici que sont les données valorisables et les réseaux les plus intéressants à exploiter. A quels types de menaces doivent communément faire face les entreprises ? Quelles sont les mesures généralement prises face à celles-ci ? L’attaque ciblée, autrement dit une attaque qui ne vise qu’une seule entité (et donc qui n’est pas diffusée à grande échelle sur Internet) se matérialise par des attaques de base de données (injection SQL) ou des envoi d’emails infectés à des personnes ciblées, mais les scénarios sont multiples. Le but de ces attaques est la prise de contrôle d’un ordinateur (généralement ayant des droits supérieurs) afin de récupérer des informations dans l’entreprise ou d’utiliser le réseau pour envoyer des spams. Les entreprises et les administrations sont aussi victimes d’attaques DDoS afin de faire tomber la boutique en ligne ou le service lié. Les mesures afin de contrer ces attaques sont très nombreuses. La définition d’une politique de sécurité dans l’entreprise est une priorité. Elle doit définir les règles d’utilisation de l’outil informatique, notamment les programmes autorisés et ceux interdits, les périphériques de stockage les smartphones pouvant être connectés ou non au réseau, les modalités
d’utilisation d’Internet, etc. etc. La partie consacrée à la protection physique des locaux ne doit pas être oubliée (badges d’accès, quid des visiteurs, etc.). Au niveau des outils, les protections antivirales aussi bien réactives que proactives sont nécessaires. Des outils d’analyse de flux ou de détection d’intrusion dans le réseau sont aussi nécessaires. Quels produits et services proposez-vous aux entreprises ? G Data propose des solutions de sécurité à gestion centralisée (antivirus, pare-feu) pour PC et Smartphones ainsi que des outils de gestion des droits d’utilisation de l’outil informatique (Policy Management : blocage des programmes et des périphériques non autorisés, filtrage Web). Qu'est ce qui différencie vos produits des autres sur le marché ? La technologie G Data se différencie par une approche technologique différente, basée sur l’utilisation d’un double moteur d’analyse de codes malveillants. Cette technologie nous apporte l’un des meilleurs taux de détection du marché. Notre offre logicielle est aussi principalement pensée pour les réseaux allant jusqu’à 1000 postes. Autrement dit focalisée sur du petit et moyen réseau dans une console d’administration à prise en main aisée. Faites vous aussi de la consultation pour mieux former les entreprises à se défendre contre le cybercrime ? Non, nous ne faisons pas de formation spécifique dans les entreprises à ce sujet. Nous sommes dans un système de vente 100 % indirecte (à travers des revendeurs spécialisés) sur le secteur de l’entreprise. Nos partenaires réalisent sans doute ce type de formation chez leurs clients.
24
Avez-vous déjà recruté ou pensé à recruter un ancien cybercriminel pour songer à développer d'avantage vos produits ? Chez G Data cette situation n’est jamais arrivée à ma connaissance. D’une manière générale, compte tenu de l’évolution du cybercrime, il est plus intéressant pour un cybercriminel de le rester car il gagnera plus d’argent. Quelles sont les limites des antivirus? Et d'après vous comment les entreprises peuvent-elles se protéger contre des menaces cybercriminelles ? En caricaturant un peu, l’antivirus protège principalement de ce qu’il connait : il faut que le code soit détecté « in the wild » (collecté sur Internet via des honeypot ou des retours clients suite à alerte) pour que la signature soit créée par l’éditeur et poussée chez ses clients. Dans le cadre d’une attaque ciblée, où le code a été créé spécifiquement pour cette attaque, un antivirus qui se base seulement sur les signatures pourrait ne rien détecter. C’est pourquoi on ne parle plus d’antivirus mais de solutions de sécurité. Elles intègrent différentes technologies, comportementales ou par réputation par exemple, qui permettent d’augmenter le spectre de détection. D’autres éléments vus plus haut (policy management, politique de sécurité) contribuent aussi à la protection du réseau contre ces attaques. Mais il ne faut pas non plus oublier que l’un des points faibles dans une attaque est l’utilisateur. Toutes les protections possibles sont inefficaces face à un employé qui, par exemple, convaincu de recevoir par email une validation de virement de la part de son supérieur, va transférer cette somme d’argent sur le compte offshore d’un cybercriminel. Les meilleurs scénarios d’attaques intègrent bien souvent un volet d’engineering afin de tromper une ou plusieurs personnes clés dans l’entreprise.
25
B- LES PARE-FEU
Généralement présent dans un antivirus, le pare-feu est un élément incontournable de la protection nécessaire d’une entreprise. La majorité des antivirus sur le marché tels que Avast, Gdata, McAfee, proposent un pare-feu dans leur logiciel. Cependant c’est tout de même un élément majeur de l’antivirus qui ne peut pas être négligé. Le pare-feu est souvent implanté sous forme de hardware avec des routeurs et non sous forme de logiciel. Il fut inventé à la fin des années 80 pour faire face à l’augmentation des cas de virus qui s’infiltraient dans les réseaux américains de la NASA. Un système relativement basique à l’époque, le pare-feu est devenu une fonctionnalité indispensable et très développée d’un système de défense d’un réseau. QU’EST CE QU’UN PARE-FEU ? En règle générale, le pare-feu a pour tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle) et au moins un réseau interne (une zone dont la confiance est plus importante). Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance. Un certain filtrage est réalisé selon différents critères tels que l'origine ou la destination des paquets (ad26
resse IP par exemple), les options contenues dans les données, les données elles-mêmes (taille, correspondance à un motif, etc.) et même les utilisateurs pour les plus récents des pares-feux. Un pare-feu peut être classé sous différentes catégories, selon son âge et ses caractéristiques. Différentes sortes de pare-feu sont présents sur des routeurs et sur les réseaux. Le premier pare-feu était un pare-feu sans état c’est le plus vieux dispositif de filtrage réseau. Ce système consiste à regarder chaque paquet individuellement et indépendamment de chaque autre paquet pour ensuite les comparer à une liste de règles préconfigurées. Cependant la configuration de ces dispositifs est souvent complexe et certains facteurs ne permettent pas d'obtenir une finesse de filtrage très évoluée. Ce pare-feu a donc tendance à tomber en désuétude mais reste présent sur certains routeurs. Un autre pare-feu est le pare-feu à états qui introduit une notion de connexion. Le pare-feu à états vérifie la conformité des paquets à une connexion en cours. C’est-à-dire qu'il vérifie que chaque
paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Le pare-feu Applicatif vérifie la complète conformité du paquet à un protocole attendu. Cependant ce processus est extrêmement gourmand en temps de calcul surtout lorsque le débit devient élevé. Le pare-feu Identifiant, lui, réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP et suivre l'activité réseau par utilisateur. Ceci est le dernier type de pare-feu en date et le plus efficace. Ces différents types de pares-feux se remplacent ou s’associent pour faire des systèmes de défense efficaces contre tous les risques d’internet. LES ENTREPRISES ET LES PARE-FEU Pour une entreprise il est indispensable d’avoir un pare-feu digne de ce nom et c’est pour cela que la majorité des antivirus qui sont vendus par des spécialistes en contiennent un déjà intégré. Cependant il arrive que dans certains antivirus gratuits, le pare-feu ne soit pas présent et nous avons vu pré-
SCHÉMA D’UN PARE-FEU
27
cédemment que 12% des entreprises en France utilisent un antivirus gratuit. Cela peut causer un gros problème pour la sécurité d’un réseau LAN (Local Area Network ou Réseau Local en français). Le pare-feu permet d’avoir un réseau local entre postes informatiques à travers l’entreprise sans qu’il y ait de risque d’intrusion ou de virus qui s’infiltre dans tout le réseau. Cependant sans celui-ci, rien n’empêche une intrusion majeure dans le réseau informatique de l’entreprise. Implanter un pare-feu dans le réseau d’une entreprise est quelque chose de simple et rapide et les avantages sont non-négligeables. L’avantage le plus conséquent est le fait qu’un pare-feu interdise l’accès au réseau de l’entreprise à toute personne extérieure. Ceci empêchera les intrus de trouver des informations qui les intéressent dans le réseau et de réaliser des choses illégales en se servant du réseau de l’entreprise. Ceci peut consister à réaliser des actions illégales en se servant du réseau de l’entreprise pour ne pas laisser de trace. De plus, un
pare-feu est un moyen de contrôler ce qui se passe dans le réseau local, en plus de le protéger. Il est donc possible pour le chef d’entreprise d’empêcher l’accès à certains sites auxquels il ne veut pas que ses employés aient accès, tels que des sites de téléchargement de musique illégaux par exemple. Le pare-feu est donc un élément indispensable du système de sécurité d’une entreprise qu’elle soit grande ou petite. Même s’il est en train de se faire remplacer petit à petit par des logiciels plus efficaces, il reste tout de même un élément majeur de tout antivirus et routeur. Sans celui-ci il serait possible à n’importe qui de s’introduire dans le réseau d’une entreprise et de s’en servir à des fins nuisibles pour la société. Le pare-feu permet aussi de protéger les utilisateurs des postes informatiques contre des paquets non-désirés et des virus qui chercheraient à infiltrer le réseau. Tout cela rend le pare-feu un élément incontournable de chaque système de défense de chaque entreprise.
IL EXISTE PLUSIEURS LOGICIELS FIREWALL COMME CELUI-CI DE BARRACUDA
28
C- LES ASSURANCES « JE NE SAIS PAS CE QUI ME COUVRE LE MOINS : LES VÊTEMENTS D’HÔPITAUX OU MA COMPAGNIE D’ASSURANCE. » GENE PERRET
LES ASSURANCES ET LES ENTREPRISES Une des mesures prises par toute entreprise souhaitant se protéger est bien entendu l’assurance. Un concept qui existe depuis l’apparition des premiers escrocs sur le monde sur le marché. On pense que les Chinois et les Babyloniens inventèrent le concept d’assurance entre 3000 et 2000 environ avant JC. À la base, il était principalement question d’assurer les marchands lors de leurs longs voyages sur les routes dangereuses. Cependant aujourd’hui il est possible d’assurer tout et n’importe quoi et pour les entreprises, c’est une mesure qui est indispensable. Que ce soit pour du matériel physique ou pour des fonds monétaires, l’assurance ne peut pas être considérée autrement que comme une mesure de sécurité faisant partie des plus importantes. Récemment, le nouveau type d’assurance nommé cyberassurance est en plein essor à cause des récents problèmes avec Sony et toutes les autres entreprises qui sont tombées victimes de hacks ces derniers temps. Pour les banques, une assurance est indispensable. C’est un moyen certain d’être remboursé en cas de fraude ou de vol.
29
Et c’est la même chose pour la cyber-assurance, elle protège les banques en cas d’infractions et de vol par moyens cybernétiques. Sachant que la valeur totale de l’argent obtenu par le cybercrime est de 110 milliards de dollars par an, on comprend pourquoi les banques souhaitent se protéger. Cependant cette assurance est un inconvénient en même temps qu’un avantage. Les banques, étant assurées, préfèrent se faire cambrioler ou laisser quelqu’un réaliser de l’usurpation d'identité avec des cartes bancaires au lieu d’essayer d’arrêter ces crimes. Cela coûte moins cher à une banque de payer l’assurance et avoir à faire à quelques clients mécontents que de faire en sorte que le système de sécurité soit optimal. Surtout sachant qu’un système de sécurité n’est jamais et ne sera jamais inviolable, il est facile de comprendre le point de vue des banques sur le sujet. UN BUSINESS EN ESSOR ? Il y a de forts soupçons que les affaires des cyber-assurances sont sur le point de connaître un grand essor dans les années à venir à cause des problèmes récents avec quelques entreprises. Un des exemples les plus connus et probablement le plus flagrant est celui de Sony qui fut victime d’un hack l’été dernier. Lors de cette intrusion, plus de 80 millions de comptes du Play Station Network ont étés hackés avec une valeur de près de 200 millions de dollars volés. Cependant, à l’aide de leurs assurances, on pense que la totalité de cette somme a été ou sera remboursée et redistribuée aux personnes ayant été “cambriolées.” Les entreprises ont vraiment commencé à s’assurer contre les attaques du cybercrime depuis l’administration Clinton. Cependant jusqu’à présent les entreprises préféraient s’assurer elles-mêmes en mettant un budget alloué à
cela de coté. Mais étant donné que les infractions deviennent de plus en plus grandes et surtout visibles, les entreprises commencent à s’assurer beaucoup plus avec l’aide de cyberassurances. La cyber-assurance est donc un très bon moyen de se prémunir des conséquences d’une effraction dans le système informatique d’une entreprise. Cependant elle reste toutefois une protection nouvelle, dont les termes et les options peuvent varier amplement d'un prestataire à l'autre. Cela n’empêche pas que cette assurance répond à un problème réel auquel les entreprises doivent faire face. Il est tout de même possible de se demander si cette assurance n’est pas en train de ralentir le développement de la sécurité cybernétique. À cause de celle-ci, les entreprises préfèrent avoir à rembourser les clients non-satisfaits avec l’aide de leur assurance que de payer des sommes astronomiques pour une sécurité qui en réalité n’en est pas une. Toute sécurité est inutile contre la technologie des hackers d’aujourd’hui qui devance fortement celle des entreprises spécialisées.
30
2- AUTRES MENACES ET MESURES PRISES FACE À CELLES-CI A- PHISHING (OU HAMEÇONNAGE)
QU’EST CE QUE LE PHISHING ? Imaginons que vous vérifiez votre email un jour et vous avez reçu un mail de votre banque. Vous avez déjà reçu des emails de votre banque mais celui-ci vous semble suspicieux. Ce message, et d’autres comme lui, sont des exemples de phishing, une méthode d’usurpation d’identité sur le web. En plus de voler des données personnelles et financières, les pirates peuvent infecter les ordinateurs avec des virus. Ce phénomène qui s’appelle l'hameçonnage ou « phishing » (dérivé de « fishing », aller à la pêche en anglais) est une forme spécialisée de délit informatique. Le criminel crée une réplique presque 100 % parfaite du site Web d'une institution financière, puis entreprend subrepticement d'extorquer à des utilisateurs leurs données d'accès personnelles - nom d'utilisateur, mot de passe, code PIN, etc. - au moyen d'un formulaire présenté sur le site Web contrefait, qui permet aux criminels de s'en servir pour s'approprier de l'argent.
31
Les hameçonneurs utilisent diverses techniques pour attirer les utilisateurs sur les sites Web frauduleux, comme par exemple l'envoi de courriers qui semblent provenir d'une banque. Ces messages affichent souvent les logos authentiques et reproduisent le style et les en-têtes pour se présenter comme provenant de la banque authentique. En général, ces messages informent les destinataires que la banque a modifié son organisation informatique et demande à tous les clients de reconfirmer leurs données utilisateur. Mais quand l'utilisateur clique sur le lien présenté dans ce message, il est redirigé sur le site Web frauduleux, où il est invité à communiquer ses données personnelles. Le phishing comprend plusieurs étapes : 1- La planification. Le pirate décide quelle entreprise il souhaite attaquer et détermine comment il peut obtenir l’adresse mail des clients de cette entreprise. Il utilise souvent le même procédé de collecte d’emails que le spammers. 2- Setup. Une fois que le pirate sait quelle entreprises attaquer et qui sont leurs victimes, il crée l’email et le site web frauduleux de façon à obtenir les données souhaitées. 3- Attaque. Le pirate envoie le faux message qui semble provenir d’une source fiable. Puis, il enregistre l’information que les victimes fournissent sur la page web ou sur une fenêtre pop up. 4- Vol d’identité et fraude. Le pirate utilise l’information recueillie pour faire des achats illégaux ou commettre une fraude. Les entreprises peuvent être victimes de l’hameçonnage de façon directe, c’est à dire que leurs employés se font hameçonner de façon à obtenir des mots de passe du service informatique de l’entreprise, par exemple. D’autre part, les clients de ces entreprises, peuvent être victimes de hameçon-
UN FAUX E-MAIL DE LA BANQUE BARCLAYS
nage après avoir reçu un faux mail d’un cybercriminel se faisant passer pour l ‘entre-prise. Certaines grandes banques comme Barclays ou HSBC ou certaines entreprises comme eBay ou Amazon ont déjà étés victimes de cette sorte d’attaque. COMMENT SE PROTEGER CONTRE UNE TENTATIVE D’HAMECONAGE? Plusieurs mesures permettent aux individus et aux entreprises de se protéger contre les cybermenaces modernes. Il est recommandé de suivre les quelques instructions ci-dessous pour limiter au minimum les risques d'attaque. - Soyez très méfiant vis à vis de n'importe quel message vous demandant des informations personnelles. Il est totalement invraisemblable que votre banque vous demande ce genre d'informations par courrier électronique. En cas de doute, téléphonezlui pour vérifier. - Ne remplissez pas un formulaire demandant vos données personnelles dans un message. - - - Veillez à ne saisir ce type de données que dans un site Web sécurisé. Vérifiez que le lien URL commence bien par « https:// », plutôt que par « http:// ». Con-
32
trôlez la présence de l'icône du cadenas à l'angle inférieur droit du navigateur et double-cliquez dessus pour vérifier la validité du certificat numérique. À défaut, utilisez le téléphone pour effectuer vos opérations bancaires. - Communiquez à votre banque immédiatement tout ce qui vous semble suspect. De plus, vérifiez vos comptes bancaires régulièrement (y compris les relevés de cartes de débit et de crédit, vos relevés bancaires, etc.) pour vous assurer que toutes vos transactions sont justifiées. - N'utilisez pas les liens présents dans un message électronique pour télécharger une page Web. Tapez plutôt vous-même ce lien URL dans votre navigateur. - Vérifiez que votre antivirus bloque les sites frauduleux, ou envisagez l'installation dans le navigateur Web d'une barre d'outils capable de vous prévenir en cas de tentative d'hameçonnage connue.
néral", a souligné Brett McDowell, président de DMARC.org cité dans un communiqué. Le groupe de travail propose des normes d'authentification pour les courriers électroniques destinées à compliquer la tâche des tentatives d'hameçonnage, qui seraient plus efficaces que "les mesures complexes et imparfaites" actuelles utilisées par les services de messagerie. De plus en plus, les tentatives d’hameçonnage se multiplient contre les clients des entreprises et les entreprises elles-mêmes. Pour lutter contre ces attaques, les entreprises s’unissent pour créer de nouvelles formes de sécurité et des nouveaux sites web de plus en plus durs à copier pour les pirates. De la même façon que les billets de banques ont des hologrammes de sécurité, les sites web des grands banques et entreprises tentent de rendre leurs services internet et leurs sites web« inimitbles ».
- Vérifiez que vous utilisez la dernière version de votre navigateur Web et que tous les correctifs de sécurité ont été installés. COMMENT LUTTENT LES ENTREPRISES ? De plus, les plus grands groupes américains sur internet, Google, Facebook, Microsoft, Yahoo! et AOL, ont annoncé en 2012 une initiative commune pour lutter contre des actions d'hameçonnage visant à soutirer des informations bancaires. Ces groupes se sont associés avec plusieurs établissements financiers, notamment Bank of America et le spécialiste des paiements en ligne PayPal, au sein d'un groupe de travail intitulé DMARC.org (acronyme pour Authentification, signalisation et légitimité des messages par nom de domaine). "L'hameçonnage escroque des millions d'internautes et d'entreprises chaque année, ce qui entraîne une perte de confiance dans le courrier électronique et internet en gé-
L’INDICATION HTTPS:// PERMET DE DISTINGUER LES SITES SECURISÉS DE CEUX QUI NE LE SONT PAS
33
B- LES SPAMS "JE REÇOIS UNE TONNE DE SPAMS CHAQUE JOUR QUI OFFRENT DE M'AIDER À ME DESENDETTER OU À DEVENIR RICHE RAPIDEMENT..” - BILL GATES
QU’EST CE QU’UN SPAM ? Le courrier indésirable, aussi appelé spam, est l'équivalent électronique des publipostages, reçus par voie postale. Il est envoyé en grandes quantités par des spammeurs qui gagnent de l'argent grâce au petit pourcentage de destinataires qui répondent réellement. Le spam est également utilisé pour l'hameçonnage et la diffusion de codes malveillants. La dernière décennie a vu évoluer le mode d'utilisation et de distribution des messages indésirables. Au début, le courrier indésirable directement adressé à des utilisateurs informatiques était facilement bloqué, mais dans les années suivantes, les spammeurs ont découvert que les connexions Internet grande vitesse facilitaient les pollupostages massifs, rapides et à peu de frais, dès lors qu'il était possible d'atteindre n'importe qui, depuis n'importe où dans le monde, du moment que les modems des particuliers ne présentaient aucun type de protection. En d'autres termes, il était possible d'utiliser à leur insu les connexions Internet des particuliers, pour envoyer un volume beaucoup plus élevé de courriers indésirables. Ce fut le cas, jusqu'au moment où les fabricants de matériels commencèrent à sécuriser leurs équipements et où l'amélioration des 34
filtres antispam permit de bloquer les pollupostages. Pourtant, les techniques des spammeurs ont toujours évolué, non seulement pour l'envoi de courriers indésirables mais aussi pour contourner les filtres antispam. Il s'en est suivi une lutte permanente entre les spammeurs et les professionnels, qui s'efforcent de garder toujours une longueur d'avance sur les premiers afin d'éviter les bouchons sur les autoroutes de l'information. UN DANGER POUR LES ENTREPRISES ? Le taux de spam en entreprise est en augmentation constante. Durant l’année 2003, le nombre de courriers indésirables recensés chaque jour dans toutes les entreprises au niveau mondial était de 6,9 milliards. Il est monté à 17 milliards en 2005 et 33 milliards en 2007. Du point de vue investissement, les dépenses occasionnées par le spam sont très lourdes pour les entreprises et accaparent une grande partie de leur budget. Les coûts indirects afférents au spam ne sont pas non plus négligeables, notamment la perte de productivité chez les salariés. Le spam peut représenter un risque pour les individus ainsi que les entreprises car du moment où l’on ouvre un spam, celui-ci peut délivrer des logiciels malveillants sur notre ordinateur. La diffusion de spams sur les comptes mails professionnels au sein des entreprises a des répercussions sérieuses sur l'activité de l'entreprise. Les risques de diffusion de spams sont accrus, avec les conséquences suivantes :
- Consommation inutile d'espace de stockage sur chaque ordinateur. De plus, cela peut amener un coût induit par la lutte contre le spam (logiciels, réparation des ordinateurs, etc.) COMMENT LUTTER CONTRE LE SPAM ? Utilisez au moins deux adresses de messagerie. Utilisez votre adresse privée uniquement pour la correspondance, et une autre pour vous enregistrer sur des forums publics, des salons, vous abonner à des listes de diffusion, etc. Votre adresse privée doit être difficile à deviner. Les spammeurs recherchent les combinaisons les plus évidentes de noms, de mots et de numéros pour générer des adresses de messagerie possibles. Évitez que votre adresse privée se limite à votre nom et prénom, et rien d'autre. Soyez créatifs et personnalisez votre adresse électronique. Cette solution est difficile à installer en entreprise car la plupart des entreprises ont une forme standard d’email avec le nom et prénom de la personne. Cela explique donc pourquoi il est si facile d’envoyer des spam aux entreprises. Cependant, certaines entreprises ont lutté contre ce problème en intégrant des chiffres aux adresses mail, de façon à ce que celles-ci soient difficilement devinables. Gérez votre adresse publique comme s'il s'agissait d'une adresse temporaire. Les chances pour les spammeurs d'obtenir votre adresse publique seront d'autant plus grandes si vous l'utilisez fréquemment sur Internet. N'hésitez pas à en
- Perte de temps pour les employés pour trier les mails spammés - Risques pour la stabilité du réseau d'entreprise. Il peut y avoir une diffusion possible d’un virus ou d’autres logiciels malveillants. Ceux-ci peuvent même être utilisés dans un but d’espionnage industriel.
GMAIL DE GOOGLE PROPOSE UN TRÈS BON SERVICE ANTI-SPAM À SES UTILISATEURS
35
changer souvent. De plus, ne répondez jamais à un courrier non sollicité. La plupart des spammeurs vérifient la bonne réception et enregistrent les réponses reçues. Plus vous répondrez et plus vous recevrez de nouveaux courriers indésirables. Egalement, ne cliquez pas sur les liens proposant de vous « désabonner », dans les messages de provenance douteuse. Les spammeurs envoient de fausses lettres de désabonnement afin de collecter des adresses opérationnelles. Si vous cliquez sur le lien « désabonnement » dans un de ces messages, vous allez tout simplement augmenter la réception de courriers indésirables. Les actions de prévention sont les moyens de défense les plus efficaces contre les spams. Elles peuvent être couplées à l'installation de logiciels et filtres anti-spams. Utilisez une solution antispam et n'ouvrez de compte de messagerie que sur des fournisseurs qui proposent des solutions de filtrage antispam. Plusieurs techniques sont actuellement utilisées par les entreprises pour lutter contre les courriers indésirables. Les techniques de filtrage ont été très efficaces pendant un certain temps. Mais actuellement, certaines sont devenues obsolètes à cause de l’évolution des technologies. L’absence de mise à jour et la complication de la gestion constituent également des obstacles majeurs à leur efficacité. La meilleure solution pour les entreprises serait de combiner plusieurs techniques de filtrage. La lutte contre le spam devra avoir lieu en amont c’està-dire au niveau du serveur de messagerie. Sa dangerosité augmente au fur et à mesure qu’il remonte vers les postes de travail des salariés.
bles. Il est donc impératif pour les entreprises de lutter contre ce phénomène.
Répartition des e-mails recus en 2012
“Vrai” mail 10%
Spam 90%
Spam
“Vrai” mail
Source: Sheridan, 2012
Le spam devient donc de plus en plus une menace pour les entreprises et peut résulter en une perte de productivité des salariés. Encore plus grave, il peut être utilisé pour installer des virus ou des logiciels malveillants sur le serveur de l’entreprise dans le but de récupérer des données sensi-
36
3- COMMENT UNE PME PEUT-ELLE SE PROTÉGER ?
LES PME SONT TRES VULNERABLES AU CYBERCRIME Avec les petites et moyennes entreprises (PME) qui dépendent de plus en plus des nouvelles technologies de l’Internet pour rester compétitives sur le marché local et global, ces entreprises deviennent aussi vulnérables aux attaques cybercriminelles. Le cybercrime peut avoir un impact dévastateur sur les petites entreprises qui ne peuvent pas forcément investir dans certaines mesures très coûteuses. Les propriétaires de petites entreprises se sentent invulnérables face au cybercrime en se disant que les hackers ne poursuivent que les grandes entreprises. Alors que les PME sont plus vulnérables que certaines grandes entreprises au cybercrime et ne songent pas toujours à la menace que représente le cybercrime. Pourtant, d’après un sondage de l'INSEE, 77% des PME ne pensent pas être en danger d’attaque cybercriminelle. De plus, 83% de ces PME ne prennent aucune mesure formelle pour lutter contre le cybercrime. En effet, les entreprises ne songent même pas à choisir un mot de passe sécurisé. Les deux mots de passe les plus communs chez les PME aujourd’hui sont « 123456 » et « motdepasse » d’après SplashData. Protéger son systèmes informatique, ses informations et son hardware nécessite de l’argent et du temps. Mais les conséquences d’une cyberattaque peuvent coûter bien plus cher. 37
MESURES A PRENDRE POUR LES PME Il est donc impératif pour les PME de ne pas prendre le risque de rester vulnérable. Voici cinq mesuresque les PME peuvent suivre pour se sécuriser au maximum des attaques cybercriminelles : 1- Renforcer les points faibles. Les mots de passe sont les meilleurs endroits où commencer. Il est impératif que les PME et leurs employés changent les mots de passe régulièrement et n’utilisent pas les mêmes mots de passe pour tous les comptes des employés. Cela rend les entreprises très vulnérables car il est facile pour n’importe qui de s’introduire dans les services informatiques de l’entreprise si le mot de passe est simple à deviner et reste toujours le même. Les pare-feus sont aussi une nécessité pour les PME surtout si les informations des clients et d’autres informations sensibles se trouvent liées à internet. Il est aussi nécessaire qu’un antivirus soit installé sur chaque ordinateur. 2- Désigner un ordinateur pour effectuer les opérations bancaires. La fraude est le plus grand risque pour les petites entreprises. En 2012, 56% des entreprises ont été victimes de fraude de paiement, ou une tentative de fraude. Il est donc impératif que les cybercriminels ne puissent pas accéder aux données bancaires de l’entreprise.
gies d’information et de communication d’effectuer des sauvegardes facilement et à moindre coût. 4- Eduquer les employés. Les employés sont la première ligne de défense contre les cybercriminelsmais ils sont aussi la plus grande faille de sécurité. Des employés négligents sont la plus grande cause d’infractions. Le risque d’attaques cybercriminelles peut être réduit considérablement en éduquant les employés sur des mesures de sécurité basiques. Celles-ci incluent comment reconnaître des risques potentiels et l’importance de prendre des précautions. Un plan de sécurité sans la participation active des employés est comme un système d’alarme qui n’est jamais allumé. 5- S’assurer. Malgré toutes les précautions mises en place, les PME ne seront jamais pleinement à l’abri des cybercriminels. Il est donc important de s’assurer contre d’éventuelles attaques cybercriminelles. Normalement, ce système d’assurance était réservé aux grandes entreprises mais de plus en plus, il est possible pour les PME de s ‘assurer à moindre coût, considérant l’enjeu. Il est donc possible et impératif pour les PME de se protéger. Le cybercrime ne touche pas seulement les grandes banques et les grandes entreprises comme on pourrait le penser mais se tourne de plus en plus vers les PME qui sont infiniment plus vulnérables.
Un moyen efficace de lutter contre la fraude est donc d’utiliser un ordinateur dédié aux transactions bancaires sur internet. Parce que cette machine n’est pas utilisée pour les emails, surfer sur internet ou d’autres activités, il est bien plus dûr pour des cybercriminels extérieurs de gagner accès à des informations sensibles. 3- Effectuer des sauvegardes. Les petites entreprises peuvent perdre des informations précieuses ainsi que de l’argent durant une cyberattaque. Il est maintenant possible grâce à l’évolution des technolo38
CONCLUSION
Le cybercrime est un type de criminalité qui est en plein essor depuis les années 80. C’est bien entendu un moyen simple pour les criminels de voler une grande quantité d’argent facilement et sans se faire attraper. Tout le monde peut être un hacker, les techniques sont assez simples et pour les apprendre, des sites spécialisés expliquent étape par étape comment s’y prendre. Un sens d’héroïsme et de fantaisie est attribué au cybercrime depuis son apparition. Ceci grâces aux actions des Anonymous, qui prétendent représenter la justice et l’égalité sur internet, ou alors les films qui louent les exploits de ces criminels tels The Core (2003), qui, avec le personnage de Rat, nous présente un hacker déterminé et courageux qui se montre puissant devant l’État. Certains journalistes ou écrivains réalisent même des ouvrages sur les éthiques et responsabilités des hackers, pour faire l’éloge de ces criminels. Hackers: Heroes of the Computer Revolution (1984) est le parfait exemple; écrit par le journaliste Stephen Levy, cet ouvrage défend les intérêts des hackers et montre leur culture. Cependant les hackers tombent facilement et beaucoup trop souvent dans l’illégalité et pour les entreprises et même les particuliers, c’est un énorme problème qui ne fait que grandir. Les cybercriminels sont bien entendu en avance sur les entreprises et sur la police. Depuis les années 80, la majorité des découvertes dans le monde cybernétique ont été réalisée par des hackers et
de temps en temps des criminels. Aucun système n’est entièrement sécurisé, même la sécurité dans la puce de la carte bancaire qui était sensée être incontournable vient d’être hacké par des chercheurs de l’Université de Cambridge. Les hackers ont et auront toujours un pas d’avance sur la justice qui ne peut qu’essayer de rattraper l’avance déjà trop importante des criminels. Derrière son écran, tout le monde se considère comme intouchable, c’est d’ailleurs pour cela que le téléchargement illégal est si populaire. Les entreprises ne peuvent qu’essayer de se protéger contre cette horde de nouveaux hackers qui s’agrandit tous les jours avec des jeunes qui rejoignent ses rangs. Le vrai problème causé par le cybercrime est-il le fait que celui-ci est énormément développé et puissant, ou alors le fait que la population pense que c’est « cool » de télécharger illégalement, ou alors rêve de faire partie des Anonymous ? C’est peut-être la mentalité de la population qu’il faut changer et non juste améliorer les systèmes de défense. Qui, comme nous l’avons vu, ne sont pas assez efficaces pour défendre les entreprises qui ont alors recours à des assurances. Les mentalités sont-elles donc à changer ou alors la solution est-elle d’apprendre aux cibles des criminels le « code de conduite » à suivre sur internet ? Car le succès d’un cybercriminel ne dépend pas que de ses talents mais de ce que ses victimes lui permettront de faire. 39
BIBLIOGRAPHIE Livres:
PDF:
ARPAGIAN Nicolas, La Cybersécurité, Presses Universitaires de France, France, 2010, 128 pages.
CHADWICK David, Network Firewall Technologies, IS Institute, University of Salford (ENGLAND), 19 pages. http://sec.cs.kent.ac.uk/download/Firewalls.PDF
LEVY Stephen, Hackers: Heroes of the Computer Revolution, Anchor Press/Doubleday, USA, 1984, 520 pages. MALBEUIL Xavier, La Face cachée du Net, Omniscience, France, 2008, 352 pages. OLSON Parmy, We Are Anonymous: Inside the Hacker World, Little/Brown and Company, USA, 5 Juin 2012, 512 pages. PAVIE Philippe, Internet, méfiez vous !, Ellipses Marketing, France, 2008, 206 pages.
Articles : CONSEIL DE L’UNION EUROPÉENNE, Projet Global sur le Cybercrime, UE. http://www.coe.int/t/dghl/cooperation/economiccri me/cybercrime/default_fr.asp CORNEVIN Christophe, Explosion des cyberattaques contre les entreprises, Le Figaro, 2012. http://www.lefigaro.fr/hightech/2012/12/06/0100720121206ARTFIG00569-explosion-des-cyberatta ques-contre-les-entreprises.php HERRING Matt, Cyber-warfare : Hype and fear, The Economist, 8 Décembre 2012. http://www.economist.com/news/international/215 67886-america-leading-way-developing-doctrines -cyber-warfare-other-countries-may
DAVIS Steve & CRANEY Gloria, How do I stop Spam?, Chapitre extrait du livre How do I stop Spam?, 5 pages. http://www.spamhelp.org/articles/HowDoIStopSpa m.pdf Dennis Technology Labs, PC Anti-Virus Protection 2012 : 13 Popular Antivirus compared for Effectiveness, Dennistechnologylabs.com, 2011, 106 pages. http://www.dennistechnologylabs.com/av-protecti on2012.pdf INSEE, 8.1 Criminalité–Délinquance, 2 pages http://www.insee.fr/fr/ffc/tef/tef2012/T12F081/T12F 081.pdf McConell International, Cybercrime…and punishment?, McConell International/Witsa, 2000, 10 pages. http://www.witsa.org/papers/McConnell-cybercrim e.pdf METACOM, What is Hactivism? 2.0, The TheHacktivist.com, 2003, 4-5 pages. http://www.thehacktivist.com/whatishacktivism.pdf NAGPAL Rohas, Evolution du Cybercrime, Asian School of Cyber Laws, 2008, 40 pages. PDF: http://dict.mizoram.gov.in/uploads/attachments/cy ber_crime/Evolution_of_Cyber_Crime.pdf
40
NORTON, 2012 Norton Cybercrime Report, Norton, 2012 http://now-static.norton.com/now/en/pu/images/P romotions/2012/cybercrimeReport/2012_Norton_ Cybercrime_Report_Master_FINAL_050912.pdf SANS Institute, OUCH! Understanding Antivirus Software, 2011, 3 pages. http://www.securingthehuman.org/newsletters/ou ch/issues/OUCH-201103_en.pdf SIMMONS Dawn, The Dark Side of Technology, XL Group, 2012, 2 pages. http://resources.xlgroup.com/docs/cyberliability. pdf WHITNEY SAMUEL Alexandra, Hacktivism and the Future of Political Participation, Harvard University, Cambridge-Massachusetts, 2004, 250 pages. http://www.alexandrasamuel.com/dissertation/pd fs/Samuel-Hacktivism-entire.pdf XUE Feng, Attacking Antivirus, Nevis Network Inc., Technical Lead at Nevis Labs, 2008, 20 pages http://www.blackhat.com/presentations/bh-europ e-08/Feng-Xue/Whitepaper/bh-eu-08-xue-WP.pdf YUE Chuan and WANG Haining, Anti-Phishing in Offense and Defense, The College of William and Mary, England, 10 pages. http://www.cs.wm.edu/~hnw/paper/antiphishing. pdf Se protéger des Spams. http://cyberguerande.free.fr/IMG/pdf/SPAM.pdf
Articles ou pages Web consultés: FBI, National Cyber Investigative Joint Task Force. http://www.fbi.gov/about-us/investigate/cyber/nci jtf GDATA, Nouvelle Gamme Gdata 2013. http://gdata.entelechargement.com/?updmarque ur=52E4P&gclid=CO-4sr6l27QCFbMbtAodP3UA Ng IBM, U.S. Businesses: Cost of Cybercrime Overtakes Physical Crime. http://www-03.ibm.com/press/us/en/pressrelease /19367.wss JURISPEDIA, Délits de la cybercriminalité. http://fr.jurispedia.org/index.php/D%C3%A9lits_d e_la_cybercriminalit%C3%A9_(fr) LE FIGARO, Comment Google a été attaqué depuis la Chine. http://www.lefigaro.fr/web/2010/01/13/01022-201 00113ARTFIG00819-comment-google-a-ete-atta que-depuis-la-chine-.php MCAFEE, Cybercrime and Hacktivisim. http://www.mcafee.com/us/resources/white-pape rs/wp-cybercrime-hactivism.pdf MICROSOFT, Comment reconnaître un message ou un lien d'hameçonnage. http://www.microsoft.com/security/online-privacy/ phishing-symptoms.aspx NOUVELOBS, Les PME face à la cybercriminalité. http://regardsdentrepreneurs.blogs.nouvelobs.co m/archive/2011/07/15/les-pme-face-a-la-cybercri minalite.html
41
SOPHOS, L'argent derrière les malwares. http://www.sophos.com/fr-fr/security-news-trends /security-trends/money-behind-malware-threats/h ow-cybercrime-works.aspx STARTUPNATION, Five Ways Small Businesses Can Combat Cybercrime. http://www.startupnation.com/business-articles/9 012/1/technology-cyber-crime.htm
Sites Webs consultés : Bright Hub: http://www.brighthub.com Criminal Lawyer Group: http://www.criminallawyergroup.com Cyb3rCrim3: http://cyb3rcrim3.blogspot.fr GData: http://www.gdata-software.com Generation NT: http://www.generation-nt.com
TED, Marc Goodman: A vision of crimes in the future. http://www.ted.com/talks/marc_goodman_a_visio n_of_crimes_in_the_future.html
Global Edge : http://globaledge.msu.edu/
UNDERNEWS, Cybercrime: Les outils pirates en promo en Russie. http://www.undernews.fr/hacking-hacktivisme/cy bercrime-les-outils-pirates-en-promo-en-russie.ht ml
Infos du Net: http://www.infos-du-net.com
WEARELEGIONTHEDOCUMENTARY, WE ARE LEGION: The Story of Hacktivism. http://wearelegionthedocumentary.com
Kysban: http://www.kysban.fr
Hadopi: http://hadopi.fr/ IBM: http://www.ibm.com/fr
Inoculer: http://www.inoculer.com InvestmentU: http://www.investmentu.com Kasperby: http://www.kaspersky.com
L’Internaute: http://www.linternaute.com Le Figaro : http://www.lefigaro.fr
WIKIPEDIA, GData. http://en.wikipedia.org/wiki/GData WIKIPEDIA, Hameçonnage. http://fr.wikipedia.org/wiki/Hameçonnage
Le Monde: http://www.lemonde.fr Le Sénat: http://www.senat.fr Mininova: http://www.mininova.org Sur La Toile: http://www.sur-la-toile.com The Economist: http://www.economist.com
Vidéo(s):
The National: http://www.thenational.ae
PIRAT@GE le documentaire sur les Hackers. http://www.youtube.com/watch?v=JxfGpH-cjsw
Wikileaks: http://www.wikileaks.ch/
SPECIAL Investigation - Les Nouveaux Pirates de L'informatique. http://www.dailymotion.com/video/xj0eyb_special -investigation-les-nouveaux-pirates-de-l-informati que_videogames#.UOyDiKVCefR
Interviews:
ZdNet: http://www.zdnet.com
G-DATA, Jérôme Granger, Manager des Relations Publiques France JEUXVIDEO.COM, Gabriel Linder, Responsable de la sécurité de la plateforme au niveau logiciel
42