vendredi 19 décembre 2014

Piratages informatiques : cherchez le maillon faible

L’actualité nous parle de piratages informatiques. Il y en a de toutes sortes.

Certains sont très sophistiqués à base de technologies évoluées, du genre accrocher un dispositif de déviation sur un câble sous-marin, mais là on parle d’espionnage d’Etat, comme la NSA par exemple, avec ce qui a été révélé par Snowden. D’autres sont moins sophistiqués et exploitent des failles dans les systèmes utilisés par les ordinateurs, avec un marché florissant de virus et d’anti-virus qui se combattent dans une escalade sans fin. Certains systèmes sont plus fragiles que d’autres. Windows reste de loin le plus répandu et le plus fragile. Les systèmes Apple sont plus protégés comme les Linux, mais devenant de plus en plus populaires, ils attirent certains pirates mais encore peu car les pirates aiment la quantité : pirater une machine pour voler son contenu, c’est bien, mais se servir de cette machine à l’insu de son propriétaire pour en pirater d’autres et envoyer des messages en masse, c’est mieux. C’est ce qu’on appelle les botnets (et pas les bonnets comme me dit mon correcteur orthographique), les robots internet, comme Google qui est un gros virus en fait mais que tout le monde accepte parce que c’est pratique.

Et puis il y a les pirates qui ne s’attaquent pas aux systèmes informatiques mais à leurs utilisateurs, en leur volant leurs mots de passe sans que ceux-ci s’en rendent compte, parce que la plupart des utilisateurs sont crédules ("ça n’arrivera pas à moi"). C’est de loin la méthode la plus efficace et elle marche même avec les professionnels.

Deux exemples :

Sony évidemment et l’affaire du piratage massif pour pousser à l’interdiction de « The interview », bizarrement traduit en français par « l’interview qui tue » (haha), paradis de la dictature nord-coréenne. Que ce piratage soit l’oeuvre de nord-coréens, de chinois, de groupes internationaux, de mercenaires de l’internet ou d’un employé jaloux n’a pas d’importance. On notera quand même qu’Obama s’insurge contre ce piratage et accuse formellement la Corée du nord parce que le FBI aurait trouvé les auteurs (pourquoi pas la NSA au fait ? Avec tout ce qu’ils écoutent...) et on reconnaitre bien là l’importance de l’industrie culturelle américaine : comment, ils osent s’attaquer à l’un de nos principaux leviers internationaux de pouvoir ???... On notera également que la quantité d’informations volées à Sony permet de découvrir plein de secrets pas très reluisants dans cette industrie tout sauf transparente. On notera surtout que le piratage a été rendu possible parce que Sony utilisait de vieux systèmes Windows pas maintenus, que les serveurs n’étaient pas protégés et que les utilisateurs et les informaticiens se sont fait avoir en donnant aux pirates leurs mots de passe.

L’ICANN ensuite. On en parle de temps en temps sur ce blog. Cette entité au coeur de l’Internet détient la gestion des noms de domaine au centre de tout le réseau Internet et donne le la en matière de technologie internet. Il y a quelques semaines, l’ICANN s’est fait voler les données liées à l’ensemble des noms de domaines de l’internet, y compris les identités complètes de leurs propriétaires et leurs mots de passe. La technique a été la même : piéger des informaticiens qui ont donné leur mot de passe via des pages bidouillées. Pour mémoire, l’ICANN est en charge de l’évolution de l’Internet dans plusieurs domaines et on pouvait penser que ses informaticiens étaient bien briefés. Que nenni. Que non point, comme disait mon prof d’informatique quand j’étais jeune.

La sécurité informatique est un vain mot dans la plupart des secteurs, sauf les plus sensibles... et encore. Il y a donc de grandes chances pour que pour vous, comme pour moi, cette sécurité soit une illusion. Illusion entretenue par beaucoup de services informatiques qui puisent leur légitimité dans la pérennité de cette idée auprès des directions générales dont ils dépendent. La plupart des gens se disent qu’un minimum de sécurité est nécessaire mais pas plus que ça. Dans mon organisation par exemple, les mots de passe de messagerie ne changent jamais, sauf à la demande explicite de l’utilisateur qui ne le fait évidemment pas. Pourquoi y penserait-il ? En plus le mot de passe ne peut en général même pas être changé par l’utilisateur lui-même sur beaucoup de systèmes d’entreprises.

L’élément humain est clairement le maillon faible et ce qui est inquiétant/rassurant avec les deux exemples dans l’actualité, c’est que même parmi les professionnels les plus compétents on trouve toujours des personnes qui se font avoir. A ce propos vous pouvez lire ou relire ce petit livre magnifique sur les Lois fondamentales de la stupidité humaine. Si vous êtes informaticien pas la peine de le lire, vous avez déjà intégré les principes... Non, non, je suis mauvaise langue car une des lois dévoilées dans ce livre c’est que quel que soit le groupe humain considéré, il y a toujours le même pourcentage de gens stupides. Intéressant, non ?

Les pirates (dont certains sont donc stupides mais pas tous) ont encore de beaux jours devant eux ;)

Aucun commentaire:

Enregistrer un commentaire