Avec l'Internet, jamais un PC n'a été aussi vulnérable aux attaques extérieures. Virus, pirates professionnels, agences gouvernementales, tout est bon pour contrôler les disques durs.

Devinette. Qu'est-ce qui a coûté plus de 100 milliards de francs en l'an 2000 aux entreprises comme aux particuliers ? Réponse : les sinistres informatiques. Entendez par là toutes les agressions dont ont pu être victimes les ordinateurs : virus, pirates, utilisations frauduleuses en tout genre. Avec le développement de l'informatique communicante, jamais il n'a été aussi facile de s'attaquer à un ordinateur. Cauchemar ! Cette question sera justement au coeur du forum Eurosec, du 12 au 14 mars à Paris.

Selon une étude menée par Arthur Andersen, les grandes entreprises consacreraient à peine 5 % de leur budget informatique à la protection de leur réseau et de leurs ordinateurs. Seulement 3 % des entreprises mentionnées consacrent plus de la moitié de leur budget informatique à la sécurisation de leurs installations. Sont-elles dirigées par des paranoïaques ? Non. Mais l'écrasante majorité des spécialistes ne mesurent pas l'étendue du problème. Notre société a appris à vivre avec le risque informatique. Qu'il s'agisse d'une entreprise ou d'un particulier, on attend souvent que le mal soit là pour réagir.

En fait, le monde se repose trop sur le savoir-faire des professionnels. Prenons Iloveyou, le plus dévastateur des virus informatiques de ces dernières années (Le Point du 12 mai 2000). En trois jours, il a mis KO plusieurs centaines de milliers d'ordinateurs après s'être propagé depuis les Philippines. Quelques heures seulement après avoir découvert Iloveyou, TrendMicro et F-Secure, deux fabricants d'antivirus, proposaient un vaccin informatique à télécharger pour éradiquer définitivement la menace.

Désormais, la diffusion des virus fait l'objet d'alertes mondiales quelques dizaines de minutes après leur propagation. Les CERT (Computer Emergency Response Teams) fonctionnent comme des réseaux d'informaticiens « guérisseurs », et les entreprises spécialisées dans la lutte contre les virus (Symantec, McAfee, etc.) proposent rapidement des « Rustine » numériques pour se protéger. Le problème, c'est que ces services coûtent toujours plus cher. La moindre information faisant état de la fragilité des données contenues dans les ordinateurs fait le beurre des entreprises de sécurité.

Le business de la sécurité informatique a représenté en 1999, dans notre seul pays, 1,5 milliard de francs. Et il devrait s'établir à 46 milliards de francs dans le monde en 2002. Mais la guerre entre l'épée et la cuirasse est sans fin.

Un virus dans la photo:

A la mi-février, le hacker néerlandais OnTheFly a diffusé un virus dissimulé dans la photo de la star russe de tennis Anna Kournikova. Celui-ci se répliquait automatiquement à partir des carnets d'adresses des destinataires. Arrêté après une collaboration éclair entre le FBI et la police néerlandaise, le pirate, âgé de 20 ans, a immédiatement expliqué que, s'il avait fait ce coup d'éclat, c'est qu'il cherchait du travail dans la... sécurité informatique. Un grand classique. A sa décharge, OnTheFly n'a fait que ralentir quelques dizaines de milliers d'ordinateurs.

D'autres sont capables de bien pis. Et tout particulièrement ceux qui opèrent au profit de gros intérêts industriels et financiers. Espionnage, vol d'informations, destruction de fichiers, tout est bon pour mettre à genoux un concurrent ou mieux le contrôler. Du virus sophistiqué au bon vieux cheval de Troie, en passant par les nouveautés telles que les « attaques applicatives », visant les sites de commerce électronique, et les « dénis de service », permettant de bloquer des serveurs en les saturant de requêtes.

Mais le plus grave, aujourd'hui, selon les spécialistes, ce sont les scripts automatiques visant les systèmes d'exploitation les plus courants (Solaris, Linux, Windows NT), dont de nouvelles vulnérabilités sont découvertes chaque jour. Ingénieur chez Hervé Schauer Consultants, Stéphane Aubert explique : « Des programmes appelés "script-kiddies" peuvent être utilisés pour exploiter une de ces vulnérabilités et prendre à distance le contrôle d'un serveur. Il est de plus en plus fréquent de trouver sur des serveurs, pour lesquels nous effectuons des missions "pompier", ces fameux script-kiddies couplés à des programmes de recherche de machines (scanner). Cette combinaison permet le piratage automatique de machines non sécurisées ou rarement mises à jour. »

Personne n'est à l'abri : depuis quelques mois, un grand ministère français détenant des informations numérisées sur chaque citoyen de notre pays, ou presque, fait l'objet d'attaques inquiétantes, menées par des experts de très haut niveau. L'ordinateur attaquant est branché pour une nuit dans une chambre d'hôtel, éventuellement dans un pays étranger, et la pénétration est totale. Qui paie le pirate, qui exploite les informations qu'il recueille ? Mystère. Mais on en est là. Un expert, qui ne souhaite pas être reconnu, explique : « Pour un système protégé, ou qui croit l'être, cent autres se laissent pénétrer sans la moindre difficulté. Et quand les machines ne suffisent pas pour attaquer, rien n'est plus simple que de corrompre un informaticien aigri, qui va ouvrir un droit d'accès. Il existe sur la seule place de Paris une bonne dizaine de spécialistes redoutablement efficaces, qui n'ont jamais été identifiés ! »

En fait, pour qui s'en donne les moyens, la société de l'information n'a jamais été aussi transparente. Il est facile de pénétrer les grands systèmes ou le PC de M. Tout-le-Monde. Aux Etats-Unis, la polémique fait rage autour du dernier-né des logiciels de piratage du FBI, qui répond au doux nom de Carnivore. Il s'agit d'ordinateurs reliés par le service de contre-espionnage aux systèmes des fournisseurs d'accès Internet : qu'il s'intéresse à un de leurs clients, et Carnivore « reniflera » l'ensemble de ses courriers électroniques, tout en étant également capable de suivre et d'enregistrer l'ensemble de ses navigations sur l'Internet ! En principe, mais en principe seulement, le FBI n'agit qu'avec l'autorisation de la justice.

L'administration américaine, très en pointe sur la question de la sécurité informatique, a activé par ailleurs un autre turbo. L'une des toutes dernières décisions de Bill Clinton a été la création, le 5 janvier dernier, d'un nouveau service de contre-espionnage fédéral, le CI-21 (Counter Intelligence 21st Century), directement rattaché au Conseil national de sécurité, que dirige depuis peu Condoleeza Rice. Ses lignes d'action sont floues. D'ici à ce qu'il fouille dans nos disques durs, il n'y a qu'un pas...

Source: Le Point (09/03/2001)