Hackers vs Entreprises

Sécurité des systèmes d'information : la menace vient d'abord de l'intérieur

Chaque employé est potentiellement membre d'une « 5e Colonne » à l'intérieur du réseau de l'entreprise. Eduquer et surveiller ses utilisateurs se révèle urgent.

« Les mathématiques sont impeccables, les ordinateurs faillibles, les réseaux médiocres et les gens pires que tout » . Si Bruce Schneier, fondateur et PDG de Counterpane Internet Security, et expert en sécurité, fait preuve de cynisme dans son ouvrage (*) , c'est pour mieux insister sur la principale menace de tout système d'information : le facteur humain. Selon Computer Security Institute (CSI), 60 % des attaques proviennent de l'intérieur de l'entreprise. L'ennemi n'est pas le mythique hacker juvénile et surdoué, mais n'importe quel employé.

« Faute de formation ou d'information, le salarié, en contournant la sécurité, devient une source potentielle de malveillance », explique Marc Blet, directeur de projets chez IntrinSec. Les exemples, relevés par les consultants sécurité, ne manquent pas : utilisations abusives de modem RTC et d'accès ADSL pour se connecter à son poste de travail depuis son domicile, réseaux Wi-Fi sauvages, répertoires partagés pour l'échange de fichiers, ou communication irresponsable de son mot de passe. S'y ajoute l'emploi de ressources professionnelles à des fins personnelles, relevé par 78 % des entreprises américaines, selon le CSI.

Prendre en compte le facteur humain nécessite d'abord de sensibiliser les utilisateurs. « Contrôler les employés est une question de démarche », insiste Olivier Caleff, directeur technique d'Apogée Communications. La première étape concerne la communication et l'explication d'une charte de sécurité. « Elle préviendra de la possibilité d'audits surprises sur les postes de travail afin d'en vérifier la correcte utilisation », assène Olivier Caleff. Le but est de jouer de la peur du gendarme.

Savoir à tout moment qui fait quoi

Quelle que soit la définition de cette politique, elle n'a pour objet que de supporter l'architecture de sécurité mise en place. Celle-ci doit en priorité tenir compte de trois exigences : le contrôle d'accès, la gestion des identités et la supervision, les deux premières étant consécutives et indissociables.

Intégrer la menace représentée par l'utilisateur se résume à un objectif : savoir, à tout instant, qui fait quoi dans le système d'information. Ce qui exige de prendre certaines précautions. « Il faut s'astreindre à des accès nominatifs et ne donner accès à l'utilisateur qu'à ce dont il a besoin », préconise Marc Blet. Les accès nominatifs supposent une gestion des délégations d'accès : un stagiaire ne recourra pas au mot de passe de son responsable de stage, mais se verra attribuer des autorisations temporaires en fonction de sa mission.

La gestion des mots de passe est au coeur de la problématique du contrôle d'accès. Simplifier l'authentification se révèle primordial. Sous Windows, le durcissement des mots de passe sert à définir des règles de choix de mot de passe par les utilisateurs, comme le mélange de caractères alphanumériques ou une longueur minimale. Cependant, les seules règles de Windows restent insuffisantes. Le recours à des tokens (calculette challenge/response, cartes à puces, clés USB) représente une alternative que les entreprises ne peuvent plus ignorer, malgré son surcoût.

Établir des cloisonnements

Hors des tokens, il faut s'en remettre à un usage strict des serveurs d'authentification centralisés et des protocoles Radius (Remote Authentication Dial-in User Service) et LDAP. Le déploiement d'un projet SSO (Single Sign-On) facilite l'usage des mots de passe.

« Pour les grands groupes, la cohabitation de plusieurs référentiels d'authentification constitue leur principal souci », concède Olivier Caleff, pour qui le SAML (Security Assertion Markup Language) doit apporter une réponse à ce problème d'interopérabilité. « Seules 20 % des applications nécessiteront 80 % des actions d'authentification ; il n'est donc pas nécessaire de tout couvrir », ajoute Marc Blet, qui conseille de commencer par étapes avec les applications Windows, puis d'élargir aux PGI de type SAP, mieux supportés.

La gestion des identités passe par le cloisonnement des groupes de travail (par exemple production et R&D). Un cloisonnement, du réseau cette fois, pose les fondements d'un déploiement de la sécurité poste à poste en liant l'utilisateur à l'adresse IP de sa machine. Ce n'est pas la seule voie, selon Olivier Caleff : « Le cloisonnement intervient également au niveau des requêtes applicatives » . Ces règles facilitent le travail de supervision par l'analyse des fichiers de logs et la corrélation des événements.

Des points simples sont à surveiller, comme l'heure d'un événement : de nombreuses requêtes sur un serveur à l'heure du déjeuner doivent alerter. Une règle d'or s'applique : dès qu'un utilisateur a outrepassé ses droits et trouvé une faille, il s'en servira à outrance. L'analyse de la volumétrie des transactions et du nombre de trames circulant sur le réseau représente donc des indicateurs précieux. Interdire les adresses purement numériques dans les requêtes web constitue une autre astuce. « Ce sont soit des adresses de sites pornographiques, soit des adresses pour lesquelles le DNS est mal renseigné, donc suspectes », justifie Olivier Caleff. L'authentification auprès du proxy doit devenir la règle ; cela responsabilise les utilisateurs.

Une fois cette politique de sécurité déployée, le contrôle de son intégrité passe par des précautions simples. Bloquer les accès aux clés de registre empêche que de nouvelles applications installées sur les postes de travail viennent ajouter de nouvelles failles (messageries instantanées, clients peer-to-peer en tête). En matière de sécurité, les bonnes recettes fonctionnant toujours, on complétera ce verrouillage par un outil d'inventaire afin de vérifier la conformité des applications installées avec le parc logiciel.

(*) « Secrets et mensonges ­ Sécurité numérique dans un monde en réseau », Bruce Schneier, Vuibert Informatique, 2001.

Sensibiliser chaque employé à la sécurité

Appliquer et contrôler la politique de sécurité, et ainsi prévenir les abus des employés, serait-il un voeu pieu ? Tel est en substance l'avis d'Hervé Schauer, fondateur et dirigeant du cabinet Hervé Schauer Consultants. Du moins, miser sur des solutions logicielles ou bâtir une infrastructure lui paraît illusoire.

« Je ne crois pas que ces outils permettent d'appliquer une politique de sécurité. Il s'agit d'une question de méthode » , explique-t-il. Fort de son expérience auprès des entreprises, Hervé Schauer n'exclut pas un effet inverse de l'utilisation de solutions du commerce à cette fin : « J'ai plutôt le sentiment que tous ceux qui ont tenté de recourir à un outil n'ont pas abouti à une amélioration des choses. De plus, ce sont des solutions coûteuses et structurantes, et les acheteurs ont tendance à déployer toujours plus de systèmes. »

Remettre en avant l'importance de l'évangélisation de la sécurité dans la culture d'une entreprise lui apparaît comme prioritaire pour pallier la faiblesse représentée par le facteur humain. « Si l'on souhaite faire passer le message auprès des employés, il faut intégrer à leur formation de base la sensibilité à la sécurité. Par exemple, lorsqu'une formation à un nouveau logiciel est organisée, il est bon que celle-ci prenne en compte les aspects sécurité. Le conseil en sécurité va alors sensibiliser le formateur, et lui demander d'inclure les aspects de mots de passe, de gestion des fichiers, etc., dans sa formation. Cette approche me semble la plus efficace, en général. »

Source: 01 Net (22/04/2003)

Hausse des cyber-attaques au deuxième semestre 2002

Le nombre de cyber-attaques contre les réseaux informatiques des entreprises a augmenté en moyenne de 20% au deuxième semestre 2002 comparé à la même période en 2001, estime Symantec dans une étude publiée lundi.

Le spécialiste de la sécurité sur le web ajoute que le nombre de failles recensées dans les réseaux et les ordinateurs a presque doublé, augmentant de 81,5%, entre le deuxième semestre 2001 et le deuxième semestre 2002.

Cette étude est publiée 10 jours après la très sérieuse attaque du ver "SQL Slammer" qui a soudainement ralenti le trafic internet dans le monde entier, pratiquement bloqué l'accès au réseau en Corée du Sud et empêché le fonctionnement de nombreux distributeurs automatiques de billets aux Etats-Unis.

Les virus et les vers utilisent les points faibles des ordinateurs pour s'introduire dans les systèmes et les exploiter.

Symantec explique la hausse du nombre de maillons faibles recensés par la plus grande transparence des fabricants d'ordinateurs et une sophistication croissante des attaques.

"Il se peut que davantage de vendeurs rendent publics les points faibles au fur et à mesure que des patches informatiques sont mis au point", a déclaré à Reuters le responsable de Symantec Robert Clyde.

L'attaque du ver SQL Slammer était la pire attaque en 18 mois contre des réseaux d'entreprises, depuis celle menée par le ver "Code Rouge" en 2001, ont estimé des experts.

Symantec précise que contrairement à l'image d'Epinal de cyber-pirates menant leurs attaques aux heures les plus invraisemblables de la nuit, le volume des attaques suit le rythme de la journée et de la semaine de travail, avec une baisse d'activité le week-end.

Source: Reuters (04/02/2003)

2002, l'année des menaces hybrides

En matière de sécurité, chaque année voit son lot d'innovations. Le rapport d'ISS - éditeur et prestataire de services - intitulé Internet Risk Impact Summary fait le point sur les nouvelles tendances. Pour ISS, l'année 2002 fut celle des menaces hybrides : elles ont été multipliées par deux entre janvier et décembre 2002. De quoi s'agit-il exactement ?
De virus, vers et chevaux de troies capables d'emprunter plusieurs chemins pour se faufiler sur un système. Ces virus opportunistes savent se glisser dans un e-mail, se propager depuis un site Internet, s'ouvrir les portes d'un serveur en ligne, etc.

Avec une petite préférence pour les failles de sécurité, qui ont été le complice involontaire de nombreuses infections cette année. En frappant ainsi à plusieurs portes d'entrée, les virus hybrides maximisent leurs chances de pénétrer dans une machine.

Persitance des "virus star"

Autre tendance lourde : les concepteurs de virus prennent l'habitude de livrer les plans de leurs créations à leurs compères. Ceux-ci s'empressent d'en réviser le code, et lancent rapidement des variantes. ISS signale que ces variantes sont parfois plus performantes que le virus originel.

Capables de se faufiler à travers toutes les portes, constamment améliorés par la communauté des concepteurs, les virus se propagent plus efficacement. Ils tiennent aussi plus longtemps le haut de l'affiche : Nimda s'accroche par exemple à son statut de virus dangereux depuis septembre 2001.

Ce qui ne change pas, en revanche, ce sont les cibles des attaques. Le secteur de la finance et de l'assurance capte toujours 34 % des mauvaises intentions - virus et attaques confondus. Les Telecoms peuvent elles aussi se plaindre : elles subissent 22 % des attaques en tout genre. Le commerce est mieux loti: il n'a à déplorer que 1 % des alertes de sécurité en provenance d'Internet.
s virus 2001/2002

Attaques américaines, sans relâche

Du côté des fauteurs de trouble, c'est encore et toujours l'Amérique du Nord qui se distingue. Avec 82 % des attaques, le nouveau continent détient une avance indéniable sur l'Europe qui stagne à 6 %. On ne expliquer ce triste record que par une plus forte culture du piratage.

Notons enfin qu'il ne faut jamais baisser la garde. ISS observe que les pirates - et autres concepteurs de virus - profitent de quelques jours d'inattention pour faire des dégâts. Lors des périodes de vacances, les attaques connaissent une hausse sensible, au moment même où la surveillance se relâche. Gare aux mauvaises surprises ...

Source: JDNet Solutions (10/01/2003)

Honeypots : observer les pirates dans un tube à essai

Tel est pris qui croyait prendre : si un pirate trouve une machine ouverte aux quatre vents, il s'empresse d'y pénétrer. Ce qu'il sait moins, c'est qu'il vient juste de mettre les pieds dans un véritable leurre bardé de systèmes de contrôle qui enregistrent ses moindres faits et gestes. Une fois n'est pas coutume, c'est le responsable de la sécurité de l'entreprise qui se joue du pirate.

Sanctionner ou observer ?

Mais quel intérêt pour l'enteprise ? Identifier le pirate et l'attaquer en justice ? "Ce n'est pas le but - répond Luis Delebarre, directeur associé d'arSafe. Les meilleurs hackers sont trop difficiles à débusquer, et les autres ne méritent pas d'être sanctionnés". L'objectif est donc "d'observer plusieurs pirates, comprendre leur démarche, et améliorer en conséquence la protection du système d'information".

Un but louable : il est toujours utile de bien connaître son adversaire pour le contrer. Cela permet "d'éviter certaines erreurs de paramétrage, et de comprendre plus rapidement et plus instinctivement les signaux inquiétants". Et plus encore, "de développer un savoir-faire qui permettra de mieux se comporter en cas de crise, et notamment de savoir mener une investigation efficace".

Piéger et observer

Comment fonctionne un HoneyPot ? La famille de produits la plus ancienne simule le fonctionnement d'un système d'information à l'intérieur d'une seule et unique machine : "On fait croire au pirate qu'un Apache tourne sous Unix, avec tout l'environnement de sécurité qui l'entoure". Une solution efficace lorsque l'on souhaite accumuler des connaissances générales sur le piratage, mais qui souffre cependant de deux défauts : un bon pirate ne se laissera pas flouer par un tel leurre. Qui plus est, un responsable sécurité sera dans l'impossibilité d'observer le comportement d'un pirate dans un environnement ressemblant à son propre SI.

La parade ? Opter pour un HoneyNet, la solution de deuxième génération apparue il y a un peu plus d'un an. Cette fois-ci, on fait appel à un prestataire externe qui construit un réseau de quatre à cinq machines fonctionnant en conditions réelles. "Ce n'est plus de la simulation. Avec 5 machines, il est possible de reconstruire toutes les portes qu'un SI ouvre sur Internet : le Web, le DNS, le Smtp et le FTP".

Des défauts gênants

Une façon de s'informer - et de se former - intéressante pour les entreprises soucieuses de leur sécurité, mais une opération fort coûteuse car même s'il est possible de recycler de vieilles machines, l'expertise technique du prestataire de services a un coût.

Pire : l'entreprise peut même se révéler dangereuse. Si un pirate découvre le pot-aux-roses, il sera tenté de chercher l'entrée du véritable SI et de lui faire subir de gros dégâts, par défi. De même, s'il ne s'en rend pas compte, il s'empressera d'ébruiter son succès. L'image de l'entreprise s'en trouvera donc écornée. Luis Delebarre conseille tout simplement de cacher l'identité de l'entreprise.

En conséquence, il devient iImpossible d'attirer les pirates professionnels - qui ne débarquent jamais dans un système d'information par hasard, et qui n'ont aucune raison d'attaquer un HoneyPot pris au hasard. Impossible également de créer un HoneyNet en tous points sembables au SI de l'entreprise, puisqu'il ne doit pas pouvoir être rattaché à l'entreprise.

Un outil pédagogique

Récapitulons : un HoneyNet coûte cher, il ne permet d'observer qu'une partie des pirates - excluant notamment les meilleurs d'entre eux -, et il n'autorise jamais le clonage parfait du système d'information. Autant de limites qui cantonnent son utilisation à un usage pédagogique : faire progresser le niveau de qualification de ses équipes de sécurité. Un expédient appréciable dans les entreprises dont le code de déontologie interdit d'embaucher des hackers, et qui pêchent par leur mauvaise connaissance des techniques de piratage. De l'aveu même de Luis Delebarre - dont l'entreprise pratique une veille approfondie sur ce sujet - les HoneyPots et les HoneyNets sont "très peu implantés en France". Mais ils sont plus couramment utilisés aux Etats-Unis, et ils devraient petit à petit parvenir à creuser une niche dans le marché de la sécurité.

Source: JDNet Solutions (25/10/2002)

Les cyberpirates contre-attaquent en 2002

Les attaques de pirates informatiques ont augmenté de 62% au premier semestre 2002. Telle est la conclusion de l’étude menée par Riptech, une société spécialisée dans la sécurisation de réseaux. De la propagation de virus au blocage de sites web, les pirates ont poursuivi leur offensive. Leur cible préférée ? Les sociétés d’énergie, 70% d’entre elles ont subi une attaque, alors qu’elles n’étaient que 57% l’an dernier. Les entreprises publiques ne sont pas en reste. Elles sont deux fois plus à avoir subi une attaque que leurs homologues du privé. Les pays d’où partent le piratage sont aussi ceux qui sont le plus attaqués. Les Etats-Unis arrivent en tête avec 40% des attaques, suivi de l’Allemagne, la Corée du Sud, la Chine et la France.

La nature des attaques a également changé, d’après une étude d’InformationWeek, sa cinquième enquête sur la sécurité globale de l’information. Les virus, vers, chevaux de Troie ne font désormais plus peur aux entreprises. Alors qu’elles étaient 66% en 2001 à avoir été frappées de plein fouet par une attaque de virus, elles n’étaient plus que 44% cette année. Alles sont préparées à l’attaque de virus, elles sont la proie d’autres formes de piratages. Le piratage le plus redouté des entreprises : l’accès à des informations confidentielles, est en progression. 15% des entreprises américaines ont eu à déplorer ce genre d’intrusions alors que très peu de cas étaient recensés l’an dernier. Et les dégâts sont autrement plus importants : L’année dernière, 28% des entreprises sont passées au travers des attaques sans devoir être immobilisées, elles ne sont désormais plus que 16% cette année.

Source: L'Expansion (10/07/2002)

Les entreprises européennes plus sensibilisées aux questions de sécurité ?

Selon une étude réalisée par IDC auprès de 350 entreprises européennes pour le compte d'EDS, les entreprises en Europe seraient de plus en plus sensibilisées au problème de la sécurité de leurs systèmes d'information. Pourtant, toutes les mesures ne sont pas encore prises, et selon IDC, des déclarations des responsables informatiques interrogés à la réalité, il y a parfois des différences.

Menée entre novembre et décembre 2001 dans six pays (France, Allemagne, Angleterre, Italie, Espagne, et Afrique du Sud, sic) l'étude d'IDC a porté sur quatre axes majeurs : implication des directions générales dans les politiques de sécurité, mise en place de plans de continuité de service, assurance des systèmes d'information et typologie des attaques subies en 2001.

Une volonté qui reste à traduire dans les faits

A la question posée aux responsables informatiques "Votre direction générale a-elle l'intention de plus s'impliquer dans la stratégie de sécurité de votre entreprise en 2002 ?", 48,1% ont répondu oui, 9,5% ne savaient pas, et 42,4% ont répondu par la négative. Un résultat en hausse sensible par rapport à juin 2001, selon IDC, qui tendrait à marquer une sensibilisation plus forte des directions aux risques qu'encourent leurs sociétés. Toutefois, le cabinet ne manque pas de relever certaines contractions internes : si 59,6% des entreprises considèrent que la sécurité est une affaire de spécialistes, 54,5% reconnaissent cependant ne pas avoir de ressource interne dédiée à cette tâche. La part du budget consacré à la sécurité reste d'ailleurs marginale, avec par exemple, tout juste 1,6% du budget informatique en France.

La continuité de service sur-évaluée par les entreprises

Par ailleurs, si 78,8% des entreprises sondées estiment avoir suffisamment sécurisé leur système (redondance des équipements, back-up, etc.) pour assurer la continuité de service en cas de problème, et que 66,9% déclarent avoir mis en place un plan de continuité de service, ces chiffres pourraient refléter imparfaitement la réalité. Le cabinet juge en effet que, par rapport aux retours d'expérience dont il bénéficie, ces taux sont anormalement élevés. Une hypothèse dont la vraisemblance est confortée par le pourcentage de responsables informatiques qui reconnaissent ne pas savoir si leur entreprise dispose ou non d'un tel plan (8,4%).

Un déficit d'assurance flagrant

Sur la question de la couverture de leur SI par une assurance, 55,6% des sociétés interrogées ont déclaré ne pas avoir souscrit de police d'assurance, 20,3% ne pas savoir, et seulement 24,1% avoir souscrit. Si IDC n'explique pas les raisons de ces résultats (coût des assurances, intérêt des offres, etc.), il corrèle néanmoins certains chiffres, qui tendent à prouver que les entreprises couvertes par une assurance sont en général celles qui accordent le plus de moyens à leur sécurité (en ressources internes comme en plan des continuité de service).

Plus d'un tiers des entreprises attaquées en 2001

Enfin, le panorama des attaques recensées fait ressortir que 35,2% des sociétés auraient été victimes au moins une fois d'une attaque venue de l'extérieur. Principal type d'attaque répertorié, les virus informatiques (78,5%), devant les erreurs d'utilisation (64,2%) et les pannes internes (37,5%).Viennent ensuite les erreurs de conception (30,7%), les vols de matériels (29,8%), les accidents physiques (25%), les catastrophes naturelles (22,6%), et les fraudes internes (16,3%). Ce dernier facteur pourrait être sous-estimé, selon le responsable de la sécurité des systèmes d'information d'EDS pour qui les attaques internes sont deux fois plus nombreuses que les attaques externes, et tout aussi dangereuses pour les entreprises.

Source: JDNet Solutions (21/02/2002)

La France parmi les trois pays les plus visés par les attaques informatiques

La France est l'un des trois pays les plus visés par les attaques contre les réseaux informatiques, qui ont connu une hausse vertigineuse au second semestre de l'année 2001, affirme une entreprise spécialisée dans la sécurisation des réseaux.

Selon Riptech, la France, la Corée du Sud et la Thaïlande sont les trois pays les plus visés par des attaques contre les réseaux informatiques et aussi les premiers en nombre d'attaques par habitant.

Les États-Unis sont en revanche le pays d'où le plus grand nombre d'attaques sont lancées (30%), suivi de la Corée du Sud (9%) et de la Chine (8%).

Par ailleurs, les attaques des pirates de la toile contre les réseaux informatiques d'entreprises ont augmenté de 79% entre juillet et décembre. Quatre agressions sur dix avaient des cibles bien définies, une évolution par rapport au passé, où elles étaient plutôt vagues et générales.

«Une part significative des attaques (39%) semblait viser délibérément une institution», affirment les auteurs du rapport, diffusé lundi.

Les secteurs les plus visés sont ceux de la technologie de pointe, des finances, des médias, le divertissement, et plus que tout autre, l'énergie.

Dans ces domaines, les entreprises sont en moyenne victimes de 700 attaques par an. En outre, les grandes organisations - plus de 500 employés - sont plus souvent visées.

«Le problème des attaques contre les réseaux informatiques s'aggrave», a déclaré un responsable de Riptech, Tim Belcher, à l'AFP: «Ces attaques se concentrent maintenant sur des réseaux essentiels, comme les entreprises fournissant des services publics».

L'étude a été réalisée dans 25 pays, alors que dans le secteur de la haute technologie la sécurité devrait être l'une des priorités de l'année 2002.

Le fabricant de logiciels Microsoft a ainsi annoncé au début du mois qu'il comptait lancer une initiative dite «des ordinateurs dignes de confiance», destinée à en faire un domaine aussi sûr que celui de la téléphonie ou d'autres services publics essentiels.

Source: Multimedium (29/02/2002)

La sécurité se fait encore discrète dans le budget des entreprises

Cybercrimes, piratage, attaques virales: malgré les énormes enjeux, la protection de l'information stockée sur les ordinateurs ou les serveurs Internet est encore négligée par 70% des entreprises en Europe, même si les directions informatiques en font de plus en plus leur priorité.

L'usage croissant d'Internet impose «d'organiser la riposte au niveau international, mais aussi d'associer plus souvent le public et le privé dans les politiques de sécurité», souligne le commissaire divisionnaire Daniel Martin, en présentant son livre Cybercrimes, menaces, vulnérabilité et ripostes.

L'opérateur Internet PSINet indiquait récemment que «77% des responsables informatiques interrogés en France prévoient de mettre en place des mesures de protection des données» (voir autre texte).

Les failles de sécurité représentent un risque menaçant directement la survie des entreprises: «60% des petites et moyennes entreprises qui ont eu un sinistre informatique disparaissent dans les cinq ans», selon Andersen Consulting.

Pour les particuliers, le manque de protection de leurs données personnelles représente un danger: des pirates se sont déjà attaqués aux données circulant sur le réseau de la carte Vitale, aux réseaux des notaires ou des ordinateurs d'hôpitaux.

Le commissaire Martin, aujourd'hui chef de service de l'OCDE, cite ainsi le cas d'un crime «commis en modifiant dans un ordinateur d'hôpital les posologies de médicaments administrés à un malade», qui doit être jugé prochainement.

Également fondateur et président de l'Institut International des Hautes Etudes de la Cybercriminalité, il estime que la multiplication d'organismes internationaux s'occupant de sécurité informatique «pose des problèmes de coopération entre ces différentes instances». Même si, reconnaît-il, «la convention du Conseil de l'Europe sur la cybercriminalité signée le 23 novembre constitue un progrès important».

Il est urgent d'organiser la riposte, soulignent les experts. Alors que les outils permettant le piratage par Internet sont disponibles sur le Web, «on estime à 19 millions le nombre de personnes dans le monde qui seraient capables de lancer des attaques contre les entreprises», affirme M. Martin.

Serge Kerbrat directeur France du groupe américain ISS, spécialisé dans la sécurisation des réseaux, indique que «65% des directeurs informatiques ne disposent dans leur budget que de 150 000 francs (32 444 $CA) pour la sécurité».

Selon plusieurs responsables de sociétés informatiques, ces dépenses sont en progression, du fait des exigences des compagnies d'assurance qui modulent de plus en plus leurs tarifs en fonction des investissements de sécurité consentis.

La perte moyenne liée à une intrusion dans un réseau d'entreprise, par exemple pour «défacer» (le modifier en y ajoutant des textes ou des images osées) un site Web, est de 3,6 millions d'euros (5,11 millions $CA), selon une récente enquête de PricewaterHouse.

«Les banques et sociétés d'assurance sont naturellement en pointe en matière d'efforts de sécurité, et pourtant elles présentent encore des failles», indique M. Martin. Depuis le détournement électronique de 1,8 million d'euros (2,56 millions $CA) aux Caisses d'Épargne des Pays de la Loire, les alertes informatiques se sont succédées dans les banques.

La Banque de France, via le CFONB (Comité français d'organisation et de normalisation bancaire), a demandé aux établissements français de définir un «profil de protection».

Les professionnels rappellent régulièrement que plus d'un million de codes de cartes de crédit ont été volés aux États-Unis depuis le début de l'année, alors qu'en Europe, le secret sur ces fraudes est jalousement gardé.

Source: Multimedium (19/12/2002)

"Quand nous sécurisons une entreprise, nous développons des scénarii techniques mais aussi humains"

Dresser le parcours d'Anthony Chris Zboralski, "hacker médiatique" au milieu des années 90 n'est pas tâche facile. A l'époque, celui dont le pseudonyme était Frantic se fait dresser le portrait sur la couverture de Libération lors de la découverte de son "exploit" (le détournement des lignes du FBI) en 1994, puis nommer personnage de l'année en 1995 par le journal Le Monde, avant d'être cité deux ans plus tard par le news-magazine Le Point alors qu'il avait déjà tourné le dos à ses activités illicites.

Aujourd'hui, ACZ dirige le prestataire de pointe en sécurité informatique Vauban Systems depuis son siège en Indonésie, un endroit où il fait bon vivre et où la main d'oeuvre qualifiée est meilleur marché. Prévoyant de réaliser 1,5 millions de dollars de CA sur ce seul pays en 2002, où ses clients sont surtout des banques, des institutions financières et des gouvernements de l'état fédéral, la société sert aussi les intérêts d'entreprises en France où elle prévoit de s'implanter prochainement. Pour mieux appréhender les problématiques de sécurité des systèmes d'informations, ne cherchez pas ailleurs. Ou plutôt si, puisque l'expert conseille de s'informer, et de tenir compte des véritables enjeux de ce phénomène complexe.

JDNet Solutions: quels sont les faits qui vous ont été reprochés autrefois, lorsque vous étiez plus connu en tant que hacker sous le pseudonyme Frantic ?

Anthony C. Zboralski: Il s'agissait d'intrusion de systèmes automatisés de données. C'était en 1994, et le plaignant était le FBI. J'ai bêta-testé la loi Godfrain et dans le LAMI Informatique, la jurisprudence porte le nom "Zboralski-FBI".

Comment entamez-vous votre reconversion ? Avez-vous rencontré des difficultés, et lesquelles ?

Non, aucune difficulté. Au contraire, toutes les portes se sont ouvertes.

Qu'est-ce qui vous a motivé, vous et vos associés, à fonder Vauban Systems en Indonésie ? Et quelle est sa principale activité ?

J'ai été consultant indépendant, puis directeur de recherche jusqu'à novembre 2000. Je connaissais alors Matthieu Cavalié et David Nataf, qui était broker en bourse et m'a invité à le rejoindre. Nous avons décidé ensemble de développer Vauban Systems et de démarrer un vrai business model. Or, nous avons constaté un réel potentiel de développement en Asie pour la sécurité informatique, et c'est ainsi que nous avons commencé à servir des clients en France depuis l'Asie.

Pour cela, nous avons développé une approche intéressante par rapport à la sécurité. Nous ne vendons pas de la sécurité comme une suite de solutions logicielles, mais comme un ensemble de solutions techniques et non techniques. Notre méthodologie se décline en un cycle de vie qui comporte quatre étapes: la stratégie, l'analyse, l'implémentation et le service continu.

La première phase concerne la définition de la politique de sécurité, et nous l'entourons par des séminaires de sensibilisation. Au cours de la deuxième étape, nous pratiquons des tests d'intrusion, des audits de sécurité et des audits applicatifs. En troisième lieu, nous développons des infrastructures bancaires et financières et des solutions pour les fournisseurs de services Internet, ce qui passe par l'intégration d'outils de sécurité, firewalls, IDS (systèmes de détection d'intrusion), etc. Enfin, dans les services infogérés, nous apportons une réponse d'urgence, nous assurons la surveillance des systèmes sécurisés, des niveaux de performance et de la qualité de service.

Qui sont les clients de Vauban Systems aujourd'hui ? Est-il possible de nous en citer quelques-uns, en particulier en France ?

Nous avons des clients parmi les entreprises françaises, pour lesquelles nous externalisons la fonction de sécurité. En France, nos clients sont essentiellement dans le milieu industriel, aérospatial et la défense. Notre avantage par rapport aux autres spécialistes de la sécurité est que nous disposons d'un réseau de consultants qui se développe. Actuellement, nous travaillons avec un réseau de plus de 70 experts répartis dans 24 pays, que nous animons.

Quand une vulnérabilité est découverte, nous accédons à cette information de 6 mois à un an avant qu'elle ne soit rendue publique. En cela, nous avons une approche dynamique de la veille technologique, ce qui nous donne une avance certaine sur nos concurrents. Souvent, quand nous passons après une société de sécurité et que nous pratiquons des tests, nous arrivons encore à rentrer dans le système. Cela arrive surtout pour de nouveaux clients, mais pour les autres nous offrons aussi des tests récurrents. En général, le taux de réussite pour s'infiltrer est de plus de 96 %, même après qu'un concurrent ait sécurisé le client.

Cela veut-il dire qu'un système sécurisé n'est toujours pas sécurisé... ?

Les entreprises peuvent sécuriser leurs systèmes, mais nous arrivons toujours à y rentrer. Concernant les intrusions, nous avons une bonne avance par notre veille technologique et notre méthodologie. Concrètement dans cette dernière, nous analysons le réseau de confiance. Les tests d'intrusion sont très stratégiques, mais si notre client n'a pas une politique de sécurité efficace, il est quasi-impossible pour lui de se protéger. Lorsqu'une entreprise fait appel à une société de service, celle-ci effectue le test avec un scanner ISS et fournit un rapport tout cru sans même entourer sa prestation avec du conseil. En ce qui nous concerne, nous développons des scénarii d'attaque sur le plan technique, mais aussi humain en utilisant des procédés d'ingénierie sociale (social engineering).

Sécuriser les serveurs est une chose. Mais sécuriser une société entière est beaucoup plus compliqué. Par exemple, si un concurrent veut espionner une société, elle va d'abord capturer des e-mails, puis appeler l'entreprise et cibler des personnes en son sein. L'approche humaine est vraiment importante.

D'autre part, quand vous dites être au courant des failles 6 mois à un an avant qu'elles ne soient rendues publiques, pourquoi attendre autant pour en parler ?

Parce que cela pourrait tarir nos sources d'information. Aujourd'hui, la plupart des experts se sont entendus pour ne pas publier les sources d'information, et se sont assuré de cela auprès des sociétés qui ne développent pas cette expertise en interne. Chez les éditeurs et dans les entreprises, les développeurs font des milliers d'heures de programmation qui mettent en danger la sécurité de leurs systèmes. Demain, vous "patchez" votre serveur IIS et après-demain, une nouvelle faille est découverte. Dans ce cas précis, nous conseillons de désinstaller ce produit et d'installer à la place un logiciel auditable avec un accès aux sources, et dont les technologies développées soient documentées.

Votre approche humaine de la sécurité diffère bien de celle des intégrateurs. Mais n'est-ce pas celle de certains cabinets de conseil comme PriceWaterhouse Coopers ? Les rencontrez-vous sur des projets ?

Nous les retrouvons en face de nous. Mais pas seulement PriceWaterhouseCoopers, aussi KPMG et Accenture. En revanche, nous ne sommes quasiment jamais en compétition avec de petites sociétés dont l'approche est surtout l'intégration de logiciels. La plupart de ces prestataires essaient de caser un maximum de produits. Quand elles offrent un service, celui-ci est purement technique et il manque les parties fondamentales sur les facteurs stratégiques et humains.

Le facteur humain est-il précisément celui qui a été pointé du doigt par un rapport d'un expert de la DCSSI américaine à propos des PKI (infrastructures à clef publique) ?

Le problème des sociétés qui implémentent des PKI est qu'elles n'ont pas d'expérience de la sécurité mais plutôt de l'intégration de technologies. Par conséquent, quand elles conçoivent leurs systèmes d'authentification, et qu'eux-mêmes comportent des failles de sécurité, ils ne peuvent pas assurer leurs objectifs. C'est pareil quand l'entreprise installe un firewall, mais doit s'ouvrir à Internet. Le firewall permet un meilleur contrôle de l'accès à son réseau. Si un pirate tente de se connecter, l'entreprise peut en avoir des traces, mais cela ne veut pas dire qu'elle n'est plus vulnérable car les employés peuvent toujours envoyer et recevoir des emails. Sans parler du fait qu'elle ne se protège pas en interne...

Justement, parlons-en. Comment le client doit-il procéder pour faire face à la menace interne, qui est réputée plus importante que l'externe ?

Il faut d'abord définir quelles informations ont de la valeur et quels sont les systèmes à protéger. Puis, diviser le réseau de l'entreprise en entités et définir les sous-réseaux confidentiels. Dans la plupart des entreprises, toutes les machines se font confiance, et sans cloisonnement il est très difficile de protéger les capitaux. Citons l'exemple très positif du groupe Axa. Sur son réseau, chaque petit département est indépendant au niveau de la sécurité et ne se fait pas confiance. Mais dans d'autres sociétés, il suffit souvent de prendre le contrôle d'une machine pour prendre le contrôle de tout le réseau de l'entreprise, voire de ceux des partenaires et des clients.

En France, pour citer un exemple frappant, nous avions pratiqué des tests d'intrusion sur un réseau, mandatés par la direction générale. Nous nous sommes infiltrés avec succès dans les systèmes, où nous avons découvert des propositions commerciales au niveau d'un serveur de messagerie qui contenait des informations confidentielles. La direction a contacté le département que nous avions audité et prévenu ses responsables techniques qu'ils avaient été victimes d'une intrusion et pouvaient vérifier leurs logs. Là-dessus, ils ont soutenu qu'il n'y avait pas eu d'intrusion. La direction générale leur a donc laissé quatre jours pour enquêter et faire un état des lieux. Au bout de ces quatre jours, le département soutenait toujours qu'il n'y avait pas eu d'intrusion et que le serveur ne contenait aucune information confidentielle.

A partir de là, la direction m'a envoyé sur place pour faire un débriefing, sécuriser d'urgence le système et effectuer un audit plus complet. Ce réseau n'était censé être utilisé que pour se connecter à Internet. Et déjà, chaque poste avait des autocollants "post-it" partout avec les mots de passe. En plus, à partir de ce réseau, les utilisateurs allaient chez les clients, chez les partenaires et même sur des réseaux militaires, avec tous les mots de passe en clair. Quelqu'un aurait donc pu utiliser leur réseau pour mener des attaques sur un concurrent, avec pour but de les incriminer.

Vauban Systems est-elle entièrement constituée d'anciens hackers ? Est-ce un avantage pour une société de ce type ?

Nous ne sommes pas tous d'anciens hackers, et ce n'est d'ailleurs pas le profil que nous recherchons. Nous essayons d'être assez polyvalents. Lorsque nous développons des outils d'aide à la décision et de back-office dans le domaine bancaire et financier, nous avons besoin d'un côté de personnes qui se penchent sur des concepts de sécurité, et de l'autre de spécialistes de l'ingénierie financière pour développer des outils spécifiques. Au delà de notre approche déjà large de la sécurité, nous avons la conviction que les terminaux de paiement bancaires, les logiciels de brokerage en ligne, les outils d'aide à la décision et les solutions back-office dans ce domaine nécessitent deux composantes primordiales: la sécurité et l'ingénierie financière.

D'une manière générale, pour chaque secteur cible nous développons des compétences qui nous permettent de mieux comprendre les besoins du client en terme de fonctionnalités. Souvent, lorsque l'on sécurise un système, il devient inutilisable en l'état et il faut donc redévelopper les interfaces. Ici, nous nous mettons en concurrence avec les intégrateurs pour que dès le départ, en terme de qualité de service, le client bénéficie d'un véritable retour sur investissement. Nous considérons que la sécurité ne consiste pas seulement à se protéger des intrus, mais vise aussi à maintenir l'intégrité, la confidentialité, l'authenticité et la disponibilité de l'information.

J'ai entendu dire que vous alliez ouvrir une structure en France. Est-ce vraiment prévu et quand ?

Oui. En 2002, nous comptons aussi nous étendre en Asie et en Europe. Pour l'instant, nos priorités s'orientent vers Singapour et la France. Nous avons confié un mandat à Wizard Asset Investment pour lever 5 millions de dollars sur l'année en vue de financer notre développement. Nous comptons garder notre centre de R&D et notre base opérationnelle en Asie, avec un centre de formation à Bali en motivant les responsables sécurité à s'y rendre dans un cadre agréable. En France, nous comptons ouvrir une structure qui offrira les mêmes services, mais nous avons dans ce pays plus de partenariats pour placer des experts en sécurité en régie dans des sociétés françaises. Nous développons aussi une approche axée vers la sécurité physique, et nous comptons former des experts en Asie pour les dépêcher en France. Pour les autres pays d'Europe, notre stratégie est la même.

A quoi correspond le Tunnelx dont a parlé le HERT proche de Vauban Systems ? Est-ce bien une faille des routeurs Cisco et quelle est son étendue ?

Nous avons développé le concept du Tunnelx lors de missions de tests d'intrusion où la cible était très bien sécurisée. Malgré cela, nous avons réussi à prendre le contrôle de leurs routeurs Cisco, et nous avons rerouté de façon transparente et furtive l'ensemble de leurs communications binaires. Cela fonctionne un peu à la manière d'une boîte noire. Le premier prototype était juste un petit programme publié dans Phrack (une lettre d'information spécialisée, ndlr), et finalement nous avons développé une solution commerciale pour les forces de l'ordre et la police comme outil de surveillance. Les fonctionnalités ressemblent au projet Carnivore du FBI.

Si jamais nous nous interfaçons avec le routeur Cisco et que celui-ci soit administré de façon régulière en vérifiant l'intégrité des flux, il est alors possible de détecter l'existence du Tunnelx dans la première version que nous avons développé. Mais ce n'est plus possible depuis la deuxième version. Bien sûr, si le programme était utilisé de manière offensive, il serait possible de le détecter. Mais comme notre outil est déployé à des fins légitimes, il n'y a pas de problème pour cacher son existence sans que personne ne soit au courant.

Quelles sont les organisations ayant acheté ce système ? La France est-elle concernée ?

No comment...

Quelles sont les trois failles les plus menaçantes à l'heure actuelle ?

Aujourd'hui, tout le monde se focalise sur les failles des serveurs comme IIS, etc. C'est vraiment un problème, mais je dirais plutôt aujourd'hui que le principal risque est lié aux réseaux de confiance des entreprises. Pour en revenir aux failles des serveurs IIS, SSH et compagnie, celles-ci sont importantes mais le problème est plus insidieux qu'il n'y paraît. Personne n'est responsable. Les failles sont introduites par la complexité croissante des systèmes, par de mauvaises techniques de programmation, et par un manque de documentation et d'expertise de la part des développeurs.

De plus, il existe un écart trop grand entre la complexité des systèmes et le niveau de formation des utilisateurs. Or, que l'on achète aujourd'hui des logiciels chez Microsoft, Sun ou Hewlett-Packard, ou que l'on préfère les distributions Linux, les systèmes par défaut contiennent un nombre énorme de failles exploitables par un agresseur. Un grand nombre de ces vulnérabilités ne sont pas encore découvertes.

Les sociétés et même les particuliers ne réalisent pas que les licences d'utilisation, que ce soit l'EULA de Microsoft ou la GnuGPL de Linux n'offrent aucune garantie. Par exemple, un hacker aujourd'hui crée un ver de type CodeRed ou SirCam, le balance sur Internet et se retrouve avec le FBI et Interpol après lui. Mais pendant ce temps, les éditeurs de logiciels ne reconnaissent même pas leurs responsabilités quand ils vendent un système non sécurisé. Microsoft porte le blâme sur la communauté des experts en sécurité informatique et tente désespérément de pratiquer la sécurité par l'obscurantisme.

Oui, mais si ce n'est pas le principal risque... ?

Les trois principales failles sont donc plus abstraites. D'une part, nous avons un gros problème au niveau humain avec les personnes qui font confiance à un éditeur ou un fournisseur de système d'information, et se retrouvent à faire confiance à tout le monde. Les limites sont floues. Et nous retrouvons la plupart des sociétés de sécurité qui travaillent sur les failles d'IIS, etc. Au niveau des utilisateurs, ensuite, existe un autre vrai problème car il est aujourd'hui très facile de prendre le contrôle de l'ordinateur d'une personne ciblée, en envoyant un cheval de Troie par mail, qui peut se propager du poste de la secrétaire au support technique et ailleurs.

La plupart des entreprises, aussi, dépendent d'un fournisseur d'accès Internet. Pour capturer l'ensemble des emails de l'entreprise, il n'est donc pas nécessaire de la pirater et il suffit de passer par les providers qui ont du mal à se protéger. Enfin, un autre problème est lié au facteur humain. Les utilisateurs ne sont pas éduqués. Par exemple, que dire quand on voit affichés des mots de passe évidents, ou des habitudes de cliquer sur toutes les pièces jointes. Avec un firewall et un système de détection d'intrusion, les entreprises se croient protégées, mais les meilleurs hackers utilisent des failles de sécurité encore inconnues du public.

Y en a-t-il d'autres, très problématiques, qui vont émerger ?

Un exemple récent concerne le système SSH d'administration à distance de serveurs Unix, qui renferme une vulnérabilité. Tout le monde pensait qu'il était impossible d'exploiter cette faille, et pourtant cela fait plus de trois ou quatre mois que nous avons les outils nécessaires à son exploitation. Or, le marché commence à peine à se réveiller aujourd'hui. Sur 5 500 serveurs équipés de SSH en Indonésie, aux Philippines, à Brunei et Singapour, plus de 3 000 sont vulnérables. Là encore, il s'agit d'un outil pour administrer un serveur de façon sécurisée, qui utilise un mécanisme de chiffrement et donne un sentiment de sûreté aux administrateurs. C'est pour cela que nous ne voulons pas nous positionner comme une société qui vend des produits. Si le client nous le demande, nous lui fournissons les produits adaptés, mais nous considérons que s'arrêter là est une mauvaise approche.

Comment le monde du "hack" a-t-il évolué depuis 8 ou 10 ans ?

Les protagonistes sont de plus en plus jeunes. Une majorité d'entre eux ne font que s'amuser et ne possèdent pas de talents particuliers. Il s'est produit une séparation entre les "lamers" (traduire: les débutants, littéralement les "boiteux", ndlr) et les experts en hacking. De leur côté, les experts sont de plus en plus techniques et méprisent les novices qui ont du mal a suivre.

Quel est l'aspect de cette "scène underground" qui pose le plus de problèmes aujourd'hui ?

Ce sont les gamins, qui ne prennent pas le temps d'apprendre, et qui attaquent des cibles sans même comprendre et maîtriser les outils qu'ils utilisent. Ils ne savent pas effacer leur trace, n'ont ni méthodologie ni objectifs, et se jettent tout cuit dans les bras de la police.

Que penses-tu de l'initiative Kill.net lancée par le millionnaire allemand et ex-hacker Kim Schmitz alias Kimble ?

Le programme de Kim Schmitz est une plaisanterie de mauvais goût. Il n'y a rien de vraiment sérieux la-dessous.

Quel est le système de sécurité le plus infaillible ? Existe-t-il réellement ?

Tout dépend de la granularité du système. Si l'entreprise veut un serveur de messagerie sécurisé, c'est possible. Maintenant, il faut voir aussi du côté des gens qui ont accès au système. Et quand on veut prendre le contrôle d'un serveur, on peut s'attaquer aux machines des utilisateurs ou des administrateurs. Aujourd'hui, la sécurité informatique ressemble trop à de la pose de rustines. Le serveur de HERT qui fonctionne depuis 1998 n'a jamais été hacké, et pourtant nous sommes vraiment ciblés car tout le monde sait que nous avons des informations propriétaires. Beaucoup de hackers tentent donc leur chance, mais depuis trois ans personne n'a réussi. Notre particularité tient dans le dynamisme de la sécurité du système, dans le fait que nous sommes informés, que nous savons ce que nous faisons et que nous ne prenons pas de risques.

Les A.I.S., ou systèmes immunitaires artificiels sont-ils l'avenir de la sécurité informatique ?

Ce sont des systèmes d'information qui fonctionnent comme le système immunitaire humain. Les chercheurs qui travaillent dessus appliquent la programmation génétique à l'informatique et ça fonctionne. Il faut créer un système d'information distribué et redondant, où chaque élément de l'infrastructure participe à la détection d'intrusion et à la protection du système tout entier. Pour l'instant, cette technologie marche dans les laboratoires mais n'est pas en pratique. Nous avons nous même travaillé là-dessus dans le cadre de notre projet Symbiosis.

A présent, quels sont vos projets... ?

Faire de Vauban Systems le leader de la sécurité informatique

C'est sous le feu de l'actualité après ses exploits en tant que hacker qu'Anthony Chris Zboralski entame sa carrière professionnelle comme consultant indépendant auprès de sociétés sensibles en France. Approché par des maisons d'édition en 1996, il écrit un livre qui ne paraîtra pas car jugé trop épineux. En 1997, il est approché par la DGSE, la DST et des sociétés de sécurité physique dont PHL International, dirigée par l'ancien patron du GIGN Philippe Legorgus, pour laquelle il effectue des missions de sécurité informatique. Pendant 3 ans, il est consulté par des entreprises et organisations dans la banque, le nucléaire et l'armement. L'année 2001 est celle du grand pas: en collaboration avec Matthieu Cavalié, il fonde Vauban Systems, une société de conseil en sécurité informatique qui compte lever 5 millions de dollars sur les 18 prochains mois, afin de financer son développement en Asie et en Europe.

Source: Journal du Net (29/10/2001)

Les entreprises européennes mal protégées face au cybercrime

Pensant d'abord à leurs infrastructures, et pas de façon globale, elles ne semblent pas encore concernées par les risques provenant d'Internet. Face à la cybercriminalité, encore très peu d'entreprises européennes ont globalisé leurs actions de prévention. Sur 250 sociétés allemandes, anglaises et françaises interrogées par le cabinet d'analystes IDC et la SSII EDS en juin dernier, seules 26,2 % se sentent concernées et menacées par le phénomène. Et près d'un quart (24,6 %) ne s'estime pas concerné.

Concernant les sinistres informatiques, elles ne sont que 9,7 % à avouer avoir été victimes de cybercriminels, 43,7 % confessent des pannes internes, et 30,7 % n'auraient connu aucun problème. Pourtant selon IDC, le coût de la criminalité sur Internet représente chaque année entre 0,2 et 0,5 % du chiffre d'affaires des sociétés en question.

Le risque ne remet pas en cause la stratégie de vente en ligne

Même les sociétés qui se croient la proie de cybercriminels pensent qu'il suffit de renforcer l'infrastructure de leurs systèmes d'information, sans investir dans une réelle politique sécuritaire. A leurs yeux, la principale menace reste l'attaque de virus (86,7 %), loin devant la destruction de fichiers (53,3 %), les pirates (40 %), le vol de données (34,6 %) ou l'espionnage industriel (28,7 %).

La sécurité représente ainsi moins de 5 % des investissements informatiques totaux dans 56,9 % des sociétés. La majorité d'entre elles (56,4 %) affectent cependant une ou plusieurs personnes pour les problèmes de ce type.

De manière générale, pour 88,7 % des entreprises interrogées pratiquant le commerce électronique, l'existence d'un risque fort n'a pas d'impact négatif sur leur décision de vendre leurs produits en ligne. Même si, selon une autre étude IDC, cela constitue un frein à l'achat pour 51 % des internautes et un problème croissant pour 83 % d'entre eux.

Il faut dire que seules 32,8 % des sociétés (dont seulement 19,6 % des françaises) ont évalué l'impact de cette nouvelle criminalité sur leur activité. Dans l'ensemble, elles n'ont pas de politique globale de protection mais elles sont 63 % à penser que les différentes autorités gouvernementales (tant au niveau national qu'européen) ne prennent pas de mesures suffisantes dans ce domaine.

Source: 01 Net (01/10/2001)

Deux tiers des entreprises britanniques victimes de cybercrimes

Selon un sondage réalisé en Grand-Bretagne, une majorité d'entreprises est aujourd'hui confrontée à la délinquance informatique. D'où des projets d'e-business de plus en plus timides.

Deux tiers des entreprises britanniques ont été victimes de piraterie informatique l'année dernière, selon une étude publiée par la Confederation of British Industry (CBI).

Le piratage, les virus et les fraudes à la carte de crédit sont parmi les préjudices le plus couramment subis par les 148 entreprises sondées. Bien que 69 % des sociétés interrogées aient jugé la perte financière négligeable, elles craignent que leur réputation ne soit ternie.

L'étude de la CBI révèle que 53 % des sociétés se sentent en sécurité pour le commerce interentreprise (ou B-to-B), contre 32 % pour le commerce avec les particuliers (B-to-C).

A l'orgine de ces préjudices informatiques, on retrouve des hackers ( 45 % des délits enregistrés), d'anciens salariés de l'entreprise (13 %), des malfaiteurs (13 %) et des employés actuels (11 %).

« Cette étude montre clairement que les craintes concernant le risque de pertes financières et l'atteinte à la réputation freinent la croissance du commerce en ligne, spécialement pour le commerce destiné aux particuliers », a déclaré le directeur général de la confédération, Digby Jones. Il a appelé le gouvernement britannique à mettre en place une agence nationale destinée à lutter contre le cybercrime, à l'instar de l'Internet Fraud Complaint Centre, aux Etats-Unis.

Désormais, le principal danger pour les entreprises ne vient pas de l'intérieur, mais des pirates extérieurs, responsables de 45 % des attaques.

Source: 01 Net (29/08/2001)

En Angleterre, deux tiers des entreprises victimes de piratage

Deux tiers des entreprises britanniques déclarent avoir été victimes de fraudes sur Internet en 2000 (intrusion dans le système informatique, attaques de pirates, virus, escroquerie à la carte de crédit), ce qui les décourage de développer leurs activités dans ce secteur, selon une enquête publiée mercredi.

Seulement 32% des 150 entreprises sondées estiment que la vente de leurs produits sur Internet est sûre. Un peu plus de la moitié (53%) se disent confiantes pour les ventes sur Internet inter-entreprises.

Mais les deux-tiers des entreprises ont été victimes en 2000 d'une fraude ou d'un délit informatique, selon cette étude baptisée Cybercrime 2001, menée par l'agence gouvernementale d'enquête sur la fraude, The Fraud Advisory Panel, en collaboration avec l'organisation patronale CBI, le cabinet Pricewaterhouse Coopers et des universitaires de la faculté de Nottingham Trent.

Ce sont les pirates informatiques qui représentent le principal danger pour les entreprises. Ils comptent pour 45% des délits enregistrés, contre 13% commis par d'anciens salariés, 13% par des malfaiteurs et 11% par des employés de la société.

Au-delà de la perte financière, ces fraudes et attaques informatiques nuisent à la réputation et à la crédibilité des groupes, souligne l'enquête.

«Cette étude montre clairement que les craintes de possibles pertes financières et de réputation entamée à cause des fraudes sur Internet paralysent le développement des activités» dans ce domaine, «et notamment les transactions avec les clients particuliers», a déclaré Digby Jones, directeur général de la CBI.

Source: AFP (29/08/2001)

"50% des attaques informatiques proviennent des concurrents"

Pour Gérard Haas, avocat à la Cour d'Appel de Paris spécialisé dans les NTIC et auteur d'un ouvrage intitulé "Internet et la protection des données personnelles", la justice ne dispose pas des moyens suffisants pour appréhender les pirates informatiques.

Comment évolue la problématique de sécurité des entreprises avec le développement d'Internet ?

Gérard Haas - Les entreprises se retrouvent dans une situation paradoxale dans la mesure où elles doivent se former à ces technologies et apprendre en même temps à s'en protéger. Le piratage est un vrai fléau, tant au niveau des sociétés que des Etats. Il semblerait que les grandes entreprises subissent deux attaques par jour. Auparavant ces attaques provenaient pour 80% de l'interne contre 20% de l'extérieur. Mais depuis l'avènement du réseau, cette proportion a tendance à s'inverser en faveur des tentatives d'intrusions externes. En moyenne, les études montrent qu'il suffit de 45 minutes à un hacker pour prendre le contrôle d'un système protégé par un logiciel pare-feu et 8 heures si le système est plus sophistiqué.

Quelles sont les motivations des hackers ?

Tout d'abord, il y a le hacker indépendant qui pirate le système par arrogance. Ces délinquants constituent l'essentiel des pirates appréhendés. Il existe également des pirates qui attaquent les entreprises depuis l'étranger, avec pour motivation le chantage. Mais pour 50%, les tentatives d'intrusion viennent de la concurrence. Les nouvelles technologies ont favorisé non seulement l'intelligence économique, mais également le cyberespionnage.

Y a-t-il un vide juridique en matière de cyber-criminalité ?

Au contraire ! En France, la délinquance informatique a été intégrée dès 1998 dans le Code Pénal. Aujourd'hui, entre les réglementations françaises sur le commerce électronique (notamment soumis aux règles de la vente à distance), sur la sécurité des transactions (fraude informatique et cryptologie), le droit d'auteur, les directives communautaires et les conventions internationales signées à la Haye, à Rome ou à Vienne, nous disposons d'un ensemble de règles constituant un arsenal juridique imposant.

Au niveau européen, un texte en gestation depuis 4 ans élaboré par le Conseil de l'Europe et remanié 25 fois devrait être signé dans l'année par 43 Etats. Il a pour objet la création d'une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace. Le texte réglemente notamment les atteintes à la propriété intellectuelle, la falsification et les fraudes informatiques. Il fixe également les règles relatives au stockage des données.

Cet arsenal juridique suffit-il à répondre à tous les problèmes des entreprises ?

Tout d'abord, la problématique pour les entreprises est de mettre en place un système fiable et protégé. Le droit l'impose mais ne se préoccupe pas du coût que doit assumer l'entreprise : c'est cette dernière qui doit procéder à un arbitrage entre le risque et l'investissement engagé. Ensuite, si l'arsenal juridique existe, ce qui pose surtout problème, ce sont les moyens disponibles pour appréhender les coupables, surtout lorsqu'ils opèrent depuis l'étranger. Dernière difficulté enfin : le montant des dommages et intérêts. Toute la question repose alors sur la détermination de la valeur de l'information.

Source: La Tribune (04/07/2001)

4 attaques de déni de service toutes les 10 minutes

Depuis leur vulgarisation auprès du grand public en février 2000, suite à une vague d'assauts essuyée par plusieurs grands sites (Yahoo, Ebay, eTrade, etc.), les attaques par déni de service (ou Denial of Service) n'ont cessé de faire parler d'elles. Dans ce contexte, l'Université de Californie, San Diego publie une étude, présentée comme la première du genre, qui tente de faire le point sur le sujet...

Les chiffres publiés sont éloquents. Sur trois semaines d'investigations, les analystes américains observent près de 13 000 attaques sur environ 5 000 serveurs cible de toute taille. En une semaine, ils relèvent plus de 150 adresses IP victimes de telles tentatives... chaque heure. Et personne n'échappe à la vague. Parmi les 2 000 organisations touchées, figurent à la fois de grands acteurs du e-commerce comme Amazon ou Hotmail, des fournisseurs de services en ligne, ou encore de simples utilisateurs du réseau… "La plupart des attaques n'ont pas été relayées par les média", ajoutent en cœur David Moore, Geoffrey Voelker et Stefan Savage, responsables de cette étude de l'université de San Diego.

Une technique qui a fait ses preuves

En s'appuyant sur un dossier publié récemment par le FBI, le document de l'Université de Californie, titré Inferring Internet Denial-of-Service Activity, distingue deux grandes catégories d'attaque par déni de service. Qualifiée de "logic", la première exploite les failles existantes dans certains logiciels pour dégrader les performances des systèmes cibles. D'après les analystes de l'université, "la plupart d'entre elles pourraient être évitées simplement par une mise à jour des applications serveur, ou encore par un filtrage de certaines séquences de paquets de données".

Plus connue, la seconde (qualifiée de flooding - ou inondation), sature la mémoire vive ou les ressources réseau de la victime en lui envoyant un très grand nombre de requêtes simultanées. Objectif : générer une montée en charge ingérable par l'architecture pour la rendre finalement inutilisable.

Parallèlement, deux techniques sont utilisées pour renforcer la force des assauts, expliquent les analystes. D'une part, l'utilisation d'ordinateurs distants afin de multiplier les points d'attaques. Pour ce faire, les pirates commencent par y implanter de petits programmes à la barbe de leurs utilisateurs. Ces applications leur permettant ensuite d'utiliser les ressources mémoire de ces victimes pour coordonner une ou plusieurs actions précises - de telles opérations impliquent parfois des centaines, voire des milliers de machines. Et d'autre part, le "spoof" d'adresse IP : un procédé utilisé pour tromper la cible en lui faisant croire que les paquets de données transférés depuis une machine particulière proviennent en fait de plusieurs terminaux. Une technique aussi utilisée pour masquer une adresse IP.

2 % des attaques durent plus de 5 heures

"La durée de la plupart des attaques reste relativement courte", notent les analystes. Selon eux, 50 % ne dépassent pas plus de 10 minutes, 80 % 30 minutes et 90 % 1 heure. Une tendance qui n'empêche pas certaines tentatives de s'étendre sur plusieurs heures, 2 % dépassant les 5 heures.

Côté victimes, les connexions privées figureraient parmi les plus prisées des pirates. Celles-ci représenteraient entre 7 et 9 % des attaques en ce qui concerne les accès par modem et entre 4 et 5 % pour le haut débit. Quant aux serveurs Web et aux infrastructures réseau, ils arriveraient loin derrière avec respectivement 1 à 3 % côté routeurs et 2 à 3 % côté serveurs de domaine.

Parmi les 10 domaines les plus visés par le déni de service, .com et .net occupent la tête de la liste publiée par l'université (avec 15 % des attaques relevées). Ils sont suivis juste derrière par .ro (Roumanie) et .br (Brésil), avec respectivement 13 % et 6 % des tentatives. "Ce qui est une surprise au regard de la relative pauvreté de l'infrastructure informatique de ces pays", commentent les responsables de l'étude. Enfin, viendraient .org (organismes non-gouvernementaux), .edu (universités), .ca (Canada), .de (Allemagne) et .uk (Grande-Bretagne), chacun ne dépassant pas 5 % des attaques. Seule consolation : la France ne figure pas dans ce drôle de Top 10.

Source: Journal du Net (28/05/2001)

"Les hackers se font la main sur les petites entreprises avant d'attaquer les grandes"

Véritable gourou américain des réseaux et de la sécurité informatique, Bill Hancock a participé à l'arrestation d'environ 600 hackers et à la conception de plusieurs milliers de réseaux dont plusieurs backbones. Aux Etats-Unis, il intervient couramment sur des chaînes de télévision comme CNN, ABC et la BBC en tant qu'expert sur ces sujets. Nous l'avons rencontré vendredi dernier au cours de la visite du datacenter français d'Exodus, l'hébergeur chez qui il cumule les fonctions de vice-président senior de la sécurité et chief security officer. Dans une logique de guerre entre attaques et parades, ses propos sur la sécurité parlent d'eux même.

JDNet Solutions : Existe-t-il des systèmes de sécurité inviolables ?

Bill Hancock : Non. Pour pénétrer au sein d'un système, ce n'est qu'une question de temps et d'argent.

Sur le nombre total de sites web dits critiques, combien sont-ils insuffisamment protégés selon vous ?

La majorité des sites ne sont pas assez protégés contre les attaques les plus courantes. Pour avoir des chiffres précis, il faut aller voir sur le site SecurityStats.com. Les statistiques doivent être de l'ordre de 70 à 75 % de sites vulnérables aux tentatives d'intrusion communes. En général, le problème vient du fait qu'un firewall garde de certaines attaques mais ne suffit pas à garantir une protection efficace. Il faut aussi, par exemple, combler les failles des applications et mettre en place un système d'identification par mot de passe. Des techniques différentes doivent être déployées pour parer à différentes catégories de risques.

Quelles sont les principales composantes d'une infrastructure de sécurité véritablement efficace ?

Ce sont toutes les technologies de sécurité qui apportent une défense de base pour identifier et empêcher l'aboutissement des attaques. Ce qui inclut les différents moyens possibles pour détecter et contrer tous les types d'attaques dirigées vers les capitaux d'informations clients.

Ensuite, il faut pouvoir assurer une surveillance des événements liés à la sécurité. Et ceci implique que des sondes soient mises en place, que la surveillance soit opérée en 24x7, et qu'elle fasse intervenir des hommes pour regarder les logs de sortie en quête de problèmes éventuels. De plus, une boucle d'action doit pouvoir prendre la main lorsque le système de surveillance détecte quelque chose de grave.

Des locaux et du personnel consacrés à la riposte technique (incident response) doivent aussi pouvoir intervenir en cas d'urgence.

Les extranets et les sites reliés à des applications back-office constituent-ils une porte ouverte vers les réseaux internes ?

Pas vraiment. Le risque vient plutôt de l'intranet. 90 % des pertes sont dues à des personnes qui ont accès au réseau interne. Il y a peut-être beaucoup plus d'attaques sur des sites Internet et extranet, mais la plupart du temps les hackers ne pénètrent pas sur le réseau interne. La plus grande menace vient donc toujours de l'intérieur.

Hormis le vol de mots de passe qui impose l'installation d'un système de signature unique (SSO), quels sont les principaux risques ? Le plus grand risque vient incontestablement des systèmes auxquels les correctifs disponibles n'ont pas été appliqués. Il y a même parfois une possibilité d'être tué dans l'exercice de sa fonction, si un autre employé à décidé d'exploiter une faille et de faire exploser la souris à distance par exemple. C'est donc l'une des plus grandes menaces aujourd'hui. Si vous n'appliquez pas les correctifs de façon significative, ne venez pas vous plaindre. Et c'est la même chose à l'intérieur d'un appartement : si vous ne rangez rien, vous ne pouvez plus rien retrouver. Vous n'avez donc pas le choix.

Que pensez-vous de la politique d'éditeurs comme Microsoft dans ce domaine ?

Je pense qu'ils sont assez sérieux et qu'ils rencontrent les mêmes difficultés que d'autres éditeurs. Mais je pense aussi qu'ils ne fournissent pas leurs correctifs suffisamment tôt.

Pour revenir à un contexte d'échanges b-to-b, existe-t-il des menaces très spécifiques sur les places de marché à plusieurs niveaux ? Et comment y pallier?

Ces places de marché soulèvent trois préoccupations principales en matière de sécurité : le poste client, la plate-forme serveur, et la sécurisation des protocoles transactionnels. Du côté utilisateur, vous devez tenir compte des éventuelles failles du système client, installer des firewalls, des réseaux privés virtuels, chiffrer l'encapsulation, assurer l'identification de la personne, etc. Du côté serveur, il faut couvrir les mêmes domaines, plus d'autres comme la sécurité d'accès au back-end, le chiffrement des champs, la protection de la base de données... Enfin, concernant la partie transactionnelle, il faut assurer la protection des informations de l'utilisateur pendant leur transfert du poste client au serveur et entre les différents serveurs, avec une authentification forte, une gestion des clefs, etc. En accordant une attention convenable aux différents aspects techniques et politiques qui couvrent ces trois domaines, vous pouvez implémenter une solution b-to-b robuste capable de survivre à la plupart des attaques.

Après la mise en place d'une politique de sécurité globale, quels budgets les entreprises doivent-elles investir dans sa mise en application ?

Le budget dépend des menaces encourues par l'entreprise et du niveau de sécurité requis pour protéger ses capitaux. Un médecin qui exploite les données de ses patients doit être en mesure de les mettre à l'écart des indiscrets. Et s'il ne le fait pas, personne d'autre ne le fera pour lui. De même, quand vous êtes mariés avec des enfants, vous vous devez de les protéger.

En terme de budgets, je peux vous apporter la citation de Mitch Dem Bin, qui est l'un des membres les plus influents du Department of Justice américain. Il a piloté l'arrestation d'un grand nombre de hackers, et dispose en ce sens d'une réelle expérience de la cyber-criminalité. Selon lui, le coût exigé pour se défendre soi-même ou son entreprise représente à peu près les pertes engagées par cinq procès. Donc, si cinq personnes vous poursuivent devant les tribunaux, vous avez payé pour votre sécurité. Après, je ne connais pas le prix des investissements techniques, mais je sais combien coûtent les avocats. Donc, en implémentant une politique de sécurité, vous économisez cet argent, et en plus vous gagnez la confiance de vos clients.

L'externalisation d'actifs informatiques dans des sociétés situées à l'étranger constitue-t-elle une véritable menace ? Comment travailler de façon sécurisée avec des prestataires à risque ?

Cela se réduit toujours aux références du prestataire en matière de certifications, et à sa crédibilité. Les vrais professionnels en matière de sécurité, compétents et expérimentés, ont une éthique personnelle et professionnelle sérieuse dans leur domaine. Si vous travaillez avec un pays ou une société qui ne soutient pas ces règles éthiques et ne les encourage pas, alors vous pouvez rencontrer de sérieux problèmes.

Certains pays comme la Chine cherchent à fournir des systèmes de sécurité comme moyen de garder un oeil sur la R&D de leurs clients et leurs informations internes. Les vrais professionnels de la sécurité, qui disposent de l'entraînement et des certifications appropriées (comme le CISSP, Certified information systems security professional) ne s'engagent pas dans de telles activités. De fait, confier son système en infogérance à un ressortissant français, ou à un autre situé à l'étranger, dépend véritablement des références certifiées et de l'éthique du prestataire ainsi que de ses employés qui fournissent le service.

Par rapport aux grandes entreprises, les PME sont-elles aussi fréquemment la cible d'attaques ?

Les PME sont même plus souvent attaquées. Tout simplement parce que les hackers se font la main sur les petites entreprises avant d'attaquer les grandes. Souvent, les PME n'implémentent pas de systèmes de surveillance car ceux-ci coûtent trop cher. Mais pour se protéger, il existe aussi des logiciels gratuits. Bien entendu, comme il s'agit le plus souvent de tests d'intrusion, le hack ne les tue pas.

Pourriez-vous nous conter une annecdote concernant l'une de vos plus célèbres arrestations de hackers ?

Je peux vous parler de mon intervention vis-à-vis du hacker Maffia Boy il y a près d'un an, qui avait lancé les attaques massives de déni de service sur des sites comme Yahoo, MSN et CNN. Une personne qui me connaît avait suggéré au FBI de me contacter. Je leur ai répondu que je pouvais le stopper net. En regardant les données récoltées à l'issue des attaques, nous savions à peu près où se trouvait ce hacker, c'est à dire au Canada. Le FBI a donc contacté la police canadienne. Et nous avons pu le localiser sur un forum de discussion en direct (de type irc) ouvert aux hackers et ainsi remonter jusqu'à son identité. Car les pirates se rencontrent beaucoup dans ce genre d'endroits pour échanger des idées. Sinon, j'ai aussi travaillé sur un cas d'extorsion de fonds de la part d'un pirate russe. Il était impliqué dans une importante affaire de hacking.

Comment lutter efficacement contre les nouveaux virus mutants qui ne sont plus reconnus par les antivirus après avoir pris une nouvelle forme ?

Il faut que l'application vérifie elle-même si elle n'a pas été modifiée en dehors d'un cadre normal. La technologie qui permet cela est un algorithme de substitution polycryptique, qui peut observer toutes les formes de modification en mémoire. Cette technologie existe depuis 15 ans, mais elle est très difficile à implémenter.

Certains sites comme Netcraft ou NSI apportent une information de base, et d'autres plus en marge fournissent des outils de hacking. Peut-on lutter efficacement contre cela, notamment sur la partie légale ?

Non, nous ne pouvons pas lutter contre cela. Et pourtant, certaines de ces informations servent à des fins de piratage industriel. En effet, il est extrêmement simple de trouver des détails sur le fonctionnement d'une entreprise et son infrastructure technique. Si je veux avoir ces informations, plusieurs possibilités s'offrent à moi, comme le social engineering (se faire passer par exemple pour quelqu'un appartenant à la même organisation, ndlr), les procédés techniques et d'autres chemins détournés comme le fait d'aborder un fournisseur.

Croyez-vous en une coopération inter-gouvernementale en matière de cyber-criminalité, dans un contexte comme celui des Nations Unies ?

Pas à court terme. Il existe trop de politiques différentes, trop de pays sans lois qui tiennent compte d'Internet et de la cyber-criminalité, et cela engage de fait une complexité trop grande pour le législateur. Peut-être qu'un jour, nous serons forcés d'y parvenir. Mais, tout comme au sujet de la piraterie en haute mer, certains pays continueront de ne pas supporter les lois tandis que d'autres en tireront avantage pour stopper les hackers et les criminels. Et c'est l'argument de la Loi qui revient tout au long de l'histoire humaine.

Selon vous, existe-t-il de nouvelles menaces sur le point d'émerger ?

Les technologies sans-fil constituent un véritable problème car les systèmes de sécurité sont trop faibles voire inexistants dans la plupart des équipements en vigueur. La convergence des plates-formes mobiles (téléphone + assistant personnel + réseau mobile étendu + logiciel PC traditionnel) offre un large potentiel pour garder des données sensibles dans un ordinateur de poche qui par ailleurs est accessible de l'extérieur par des voies simplistes. Par exemple, le manque de sécurité pour les systèmes de stockage intermédiaires comme le disque dur d'un Palm Pilot devient un réel problème qui prend de l'ampleur.

Et concernant la multiplication des données personnelles ?

Au fur et à mesure que les réseaux s'approchent des résidences, la possibilité pour la vie privé de se retrouver complètement compromise constitue aussi un vrai problème. Je m'attends ainsi à voir des données personnelles exploitées par des hackers ou même des sociétés de marketing direct, entre autres.

Et ceci m'amène à la question des méthodes de data mining (statistiques prédictives de comportement) appliquées aux segments transactionnels. Alors que les personnes deviennent de plus en plus cyber-accessibles, il est de plus en plus facile de garder des enregistrements des endroits où elles se rendent, de ce qu'elles regardent et des magasins où elles achètent leurs produits. Et ceci, à la fois dans l'espace virtuel et physique. Si cette information est conservée dans des bases de données - et elle l'est - et si elle est accessible par les outils d'analyse adéquats - et elle l'est -, alors le fait de voir une entreprise développer des segments transactionnels très précis sur une base par personne devient très réel. Alors que cela constitue un avantage pour le marketing, cela représente aussi un gros problème pour la vie privée. Et je pense que celle-ci va devenir un défi très important pour l'industrie.

Pour terminer, quelles conclusions apporteriez-vous aux entreprises pour qu'elles prennent réellement conscience de leurs besoins en terme de sécurité?

Tout d'abord, la sécurité est l'un des moteurs les plus importants pour les affaires. En abordant une approche client, la sécurité apparaît indispensable ne serait-ce que pour des questions de confiance. Or, nous sommes tous des clients et chacun est capable de comprendre cela. Derrière, il faut se demander quels sont les bénéfices d'une composante sécurité dans une perspective d'affaires. Ces bénéfices peuvent être induits par le simple fait d'être profitable et de conserver une bonne réputation. Mais sinon, nos clients comprennent très bien que certaines personnes peuvent les blesser et d'autres les protéger. Et notre rôle est de leur faire comprendre avant tout qu'ils sont leur première ligne de défense.

Outre les détails mentionnés dans l'introduction, Bill Hancock est également l'auteur de 29 livres sur le thème de la sécurité et des réseaux. En plus de sa fonction chez Exodus, il est rédacteur en chef de Computers and Security Magazine. Membre de plusieurs organisations industrielles (IEEE, ACM, DECUS, ANSI...), il participe régulièrement aux discussions concernant l'établissement de nouvelles normes. Au sein des nombreux Who's Who, il est particulièrement reconnu de la communauté mondiale, de celle des sciences et de l'ingénierie, et du monde de la finance et de l'industrie. Avant de mériter ses différentes certifications, CISSP mais également CND (Certified network designer) et CSA (Certified network analyst), il a obtenu les diplômes B.A., M.S. et Ph.D. en Computer Science.

Source: Journal du Net (23/05/2001)