Les nouveaux pirates informatiques peuvent couler votre entreprise

 

Les entreprises françaises encore trop confiantes en matière de sécurité

En dépit d'un sentiment de dépendance toujours fort des entreprises à l'égard de leur système d'information, elles ne sont que 36% à avoir défini une politique de sécurité. Et 60% d'entre elles déclarent même n'avoir subi aucun incident en 2002.

«Le sentiment de protection déclaré par les entreprises est souvent en décalage par rapport à leur dépendance et aux moyens mis en oeuvre», conclut le Club de la sécurité des systèmes d'information français (Clusif), dans son bilan 2002 sur la «sinistralité informatique en France».

L'étude a été réalisée à partir des déclarations de 600 entreprises implantées dans l'Hexagone pour l'année 2002. Si elles sont 90% a s'estimer fortement ou modérément dépendantes de leur système d'information (contre 92% en 2001), seulement 36% des entreprises interrogées ont défini une politique globale de sécurité des systèmes d'information (SSI). Les causes en sont diverses: «une politique SSI est, ou semble, chère à mettre en place; les entreprises ont du retard à l'allumage; ou elles sont en phase de sensibilisation», estime le Clusif.

18% des entreprises interrogées s'estiment "très bien protégées"

Autre raison avancée: 60% des entreprises n'ont constaté aucun incident. Mais «il semble évident qu'ils sont nombreux à ne pas être détectés», tempère le Clusif. Sur les 40% à déclarer avoir subi des sinistres, 36% en ont répertorié moins de dix durant l'année. Il s'agit en premier lieux d'infections de virus (26,3%); suivies notamment de pannes internes (19,7%), d'erreurs d'utilisation (14,4%), d'erreurs de conception (7,3%), d'attaques logiques ciblées (2%) et d'intrusions (0,3%). L'impact financier n'est pour l'instant évalué que dans 14% des cas; le Clusif n'a donc pas été en mesure de le chiffrer.

Au final, elles sont 18% a estimer que leur système d'information est "très bien protégé" (contre 25% en 2001), 64% à se considérer comme "relativement bien protégé", 15% "insuffisamment protégé", et seulement 3% a s'estimer "très mal protégé" (chiffre constant). Le sentiment de confiance l'emporte donc toujours sur les craintes, malgré une légère perte par rapport à 2001.

Enfin, le Clusif a également interrogé 100 collectivités publiques sur le même thème. Elles sont 76% à s'estimer "très bien" ou "relativement bien protégées", et deux tiers d'entre elles n'ont déclarées aucun incident en 2002. Seulement 36% ont défini une politique en matière de sécurité, dont 41% des administrations, 30% des collectivités locales et 31% des établissements hospitaliers.

Source: ZDNet France (23/05/2003)

 

Piratage informatique : publication d'un rapport détaillé

Le cabinet Symantec vient de dévoiler les résultats de son analyse concernant l'évolution des diverses opérations de piratage informatique observées sur Internet.

Les plus virulentes de ces attaques sont les "menaces mixtes", des programmes qui se répandent comme des virus profitant des failles des grands logiciels. Entre la fin 2001 et 2002, ces attaques ont augmenté de 50%. De plus, Symantec a observé une hausse de 82% de nouvelles failles en matière de sécurité informatique, ce qui n'augure rien de bon dans un avenir proche.

Par ailleurs, si le nombre d'attaques considérées comme "graves" a baissé globalement, en revanche, le piratage centré sur les réseaux des grandes entreprises a augmenté de 20% en 2002. Les secteurs de la finance et de l'énergie, de même que les ONG et les associations à but non lucratif, ont également connu une augmentation du piratage informatique.

Si les attaques "mixtes" provoquent des effets moins spectaculaires que certains incidents du passé, elles se propagent plus rapidement et infiltrent aussi bien l'ordinateur de l'internaute particulier que les réseaux des entreprises, jouant plus particulièrement sur les failles de Microsoft.

Ces risques sont augmentés par l'utilisation très répandue aujourd'hui de messageries instantanées et de logiciels d'échange de fichiers musicaux sur les lieux de travail qui ouvrent la porte à des attaques particulièrement virulentes.

Une enquête détaillée réalisée au sein de 400 entreprises a cependant révélé une baisse de 6% du nombre d'attaques ciblées pendant le deuxième semestre de 2002 comparé au premier semestre. La première place au classement des pays d'où sont lancées ces opérations de piratage est occupée par les Etats-Unis devant la Corée du Sud qui est passée devant Israël. L'Iran, le Koweït, certains pays d'Amérique du Sud et de l'Europe de l'Est se classent parmi les dix premiers.

Source: ADIT (15/02/2003)

 

Les PME europénnes et la sécurité

Une récente étude Harte Hanks / Watchguard montre que les PME semblent sensibilisées au problème de l'insécurité informatique. En effet, 81% des entreprises européennes interrogées ont conscience de l'importance d'un réseau sécurisé pour une entreprise. En France, elles sont 79% à penser qu'un réseau de sécurité est capital ou important pour l'entreprise. 19% d'entre elles le pensent en raison de l'importance des données, 14% en raison de la confidentialité des informations et 14% en raison des riques d'intrusion d'un tiers non autorisé (hackers, virus). Si l'on prend également en compte le fait que seulement une entreprise européenne sur trois (32%) confie sa politique de sécurité à un sous-traitant, on peut en conclure que l'offre du marché ne répond pas à leurs attentes, soit à cause de la qualité, soit à cause du prix.

L'attaque de virus (46% des entreprises européennes interrogées) et le hacking (28%) sont les principaux problèmes auxquels les entreprises souhaitent faire face, le spamming ne recueillant qu'un faible pourcentage. Il en est de même pour les brèches au niveau des données internes (50%) et le vol d'informations confidentielles (41%). Voilà qui devrait donner des idées aux éditeurs qui souhaitent conquérir le marché de la sécurité dans les PME.

Conscience du problème, pas de l'ampleur du risque

Si cette étude révèle les préoccupations des entreprises concernant le besoin de sécurité, elle montre aussi que, paradoxalement, une PME sur cinq en Europe (près d'une sur trois en France) estiment minimal l'impact d'une brèche dans la sécurité informatique sur l'activité de l'entreprise. Cette tendance est révélatrice de la pratique générale des entreprises face aux problèmes de sécurité, caractérisée par une forte croissance des demandes dans le domaine de l'équipement de sécurité après chaque attaque majeure des systèmes, mais plutôt attentive par ailleurs. Dans une conjoncture économique il est vrai plus morose qu'en 2001, le début de l'année 2002 a ainsi vu les ventes de boitiers firewall et VPN (Réseaux Privés Virtuels) progresser seulement de 30% par rapport à 2001. Il est vrai qu'il ne suffit pas d'acheter un équipement pour être protégé, car il ne s'agit que du commencement de la mise en place d'une politique de sécurité, mais...

Manque de moyens, certes, mais aussi déficit d'information, certainement, permettent donc d'expliquer pourquoi un nombre élevé de PME européennes mimimisent encore les risques, tout en sachant que les problèmes sont là.

Source: JDNet Solutions (18/07/2002)

 

Les systèmes de détection d'instrusion : indispensables

Un réseau sécurisé dépourvu de système de détection d'intrusion, c'est un peu comme une prison dans laquelle on laisserait entrer et sortir toutes les personnes habillées en bleu marine - sans plus de contrôle. A l'entrée d'un réseau, on trouve en effet trop souvent en guise de gardien un simple firewall qui bloque les voies d'accès inutilisées - les fameux ports 80, 21, 79, etc. Mais attention : un firewall filtre mal - voire pas du tout - les requêtes malintentionnées qui passent par les accès restés ouverts. Les pirates l'ont bien compris, eux qui utilisent à 70 % le port le plus souvent ouvert - le port 80, celui du web - pour s'infiltrer dans des systèmes mal protégés.

Un firewall ne suffit pas, il faut également opter pour un véritable système de surveillance : un système de détection d'intrusion - qui contrôle en permanence l'identité des requêtes en circulation sur le réseau. "Ils sont indispensables pour parvenir à un niveau de sécurité vraiment optimal", confirme Philippe Solini, Network Design Consultant chez Unisys. Pourquoi ? Car ils sont les seuls à vérifier l'identité de chaque requête en détail, en pratiquant une véritable fouille au corps. Ils sont par conséquent capables de repérer l'intrus dans le flot du trafic courant - qui transite sur les ports laissés ouverts par le firewall.

Est-ce vraiment utile ? Sans aucun doute : "Le piratage industriel est une réalité. Certains de nos clients en ont fait la désagréable expérience - confirme Philippe Solini. Et je peux vous dire qu'ils n'ont pas regretté leur investissement".

Pas assez utilisé

Mais voilà : les administrateurs n'ont pas conscience de l'importance du problème, et les réseaux d'entreprises sont encore notoirement sous-équipés : "Les systèmes de détection d'intrusion commencent à percer, mais ils sont trop souvent cantonnés aux frontaux ou aux zones ultra-sensibles - telles les zones démilitarisées". Les intégrateurs spécialisés dans la sécurité ont donc parfois la désagréable impression de prêcher dans le désert : "Nous présentons systématiquement des devis qui prennent en compte ces systèmes de détection d'intrusion, car à nos yeux ils sont indispensables. Mais les entreprises les mettent très souvent de côté, en nous confiant qu'elles n'ont pas un budget suffisamment élevé".

Car la facture est bel et bien salée : près de 10 000 euros pour le ticket d'entrée, auxquels il faudra rajouter la main d'oeuvre : "Une sonde doit être installée par un spécialiste, sous peine d'être inefficace", explique Philippe Solini. Un coût auquel vient encore s'ajouter la charge de travail supplémentaire pour l'administrateur réseau : "Il faut compter une bonne heure de monitoring par jour, sans quoi le système de détection d'intrusion risque fort de tomber dans l'oubli". Un gouffre. Mais un passage obligé pour toutes les entreprises qui prennent la sécurité au sérieux.

Indispensable

L'efficacité est sans conteste au rendez-vous : ces systèmes ne laissent a priori aucune chance aux attaques dûment répertoriées : "Quarante personnes travaillent à l'enrichissement quotidien d'une base de données, qui est synchronisée avec nos produits de détection d'intrusion.

Cette base contient les signatures de toutes les attaques référencées à ce jour explique Pascal Delprat, consultant sécurité pour la France chez Cisco. Toutes les attaques sont donc filtrées, à l'exception notable de celles qui ne sont pas référencées". Les pirates les plus discrets se gardent en effet de faire de la publicité à leurs méthodes d'instrusion : on ne donne pas à tout le monde la clé qui permet d'entrer frauduleusement dans un coffre fort ...

Au final, l'efficacité du système demeure redoutable, à condition de veiller chaque jour au bon fonctionnement du système, et d'installer le bon système de détection au bon endroit - les attaques proviennent aussi souvent de l'extérieur que de l'intérieur de l'entreprise. D'où la nécessité d'en savoir un peu plus sur les deux grandes familles de systèmes de détection d'intrusion : les Host IDS et les Network IDS. Ces deux gendarmes travaillent avec des méthodes différentes : le premier surveille le système et signale toute action suspecte ; l'autre compare toutes les requêtes au signalement des attaques les plus connues.

Source: JDNet Solutions (12/07/2002)

 

Préparez-vous aux menaces combinées

A l´image de Code Red et de Nimda, les nouveaux virus ne se contentent plus d´endommager des fichiers. Ils se comportent comme de véritables pirates pour défigurer les sites et saturer le réseau. Un antivirus ne suffira pas à vous protéger. Comment faire face à ces attaques ? Explications d´Adrian Higgins, de Symantec.

"Avant, il suffisait d´avoir un antivirus à jour pour se protéger des attaques virales. Mais avec l´arrivée de nouveaux types de vers comme Code Red qui se répand sans pièce jointe, donc difficilement détectable, toutes ces règles n´ont plus de sens". Adrian Higgins, responsable de l´avant-vente chez l´éditeur d´anti-virus Symantec est catégorique. Lors d´un atelier qui a eu lieu hier 20 juin à Paris, le responsable a présenté les "nouvelles menaces combinées" qui risquent de ravager le web dans les années à venir. Mais que veut dire concrètement une menace combinée ? "C´est un ver qui réunit les caractéristiques d´un virus et d´une tentative d´intrusion", résume Adrian Higgins.

Ce nouveau type de code malicieux ne se contente plus d´endommager des fichiers et de contaminer d´autres utilisateurs. Comme dans le cas de Code Red et de Nimda, ses véritables dégâts sont plus de l´ordre du piratage : il exploite les failles de sécurité pour se propager, défigure parfois les sites web, sature les messageries et envoie même des attaques de déni de service à une adresse cible (le site de la Maison Blanche pour Code Red). Il n´a plus besoin des techniques de l´ingénierie sociale (référence à l´environnement familier de l´utilisateur) pour inciter à ouvrir un fichier joint contaminé : il s´exécute soit à l´ouverture du mail, soit par transmission directe via le réseau local et Internet.

Des centaines de milliers de machines infectées

"Contrairement aux macro virus qui ont besoin d´une application pour exister ou d´autres virus qui se transmettent via Outlook, ces codes sont totalement autonomes. Ils utilisent leur propre serveur SMTP et contaminent le réseau sans que personne ne s´en aperçoive. Leur vitesse de propagation est ainsi fulgurante : Code Red avait infecté 360 000 machines en moins de 14 heures", souligne Adrian Higgins. Le virus exploitait la faille de sécurité des serveurs IIS et d´Internet Explorer, pourtant connues depuis longtemps par les spécialistes.

Finie alors l´époque où l´on se débarrassait de ces vilaines bêtes par un coup d´éponge d´antivirus ? "On assiste à une évolution et à un changement des techniques. Les créateurs de virus ont fait le tour des technologies comme .vbs, utilisée par le virus LoveLetter", précise Adrian Higgins. "Ils sont aujourd´hui passés à des types d´attaques encore plus dangereuses, qui nécessitent une approche coordonnée". S´ils ne sont pas accompagnés d´une politique de sécurité globale, les outils ne peuvent pas arrêter tous seuls les attaques. "Par exemple, le firewall ne peut pas empêcher la propagation d´un ver dans le réseau interne si un poste de travail a été contaminé par un moyen quelconque", explique le responsable.

"Il faut bloquer la propagation à tous les niveaux : entre le firewall et le réseau interne, entre les postes de travail eux-mêmes, entre la passerelle e-mail et le serveur de messagerie et, enfin, depuis l´extérieur vers l´intérieur et depuis l´intérieur vers l´extérieur". Et ensuite, on peut dormir tranquille ? "Pas tout à fait", répond Adrian Higgins. Il faut compléter ce dispositif d´une sonde de détection d´intrusion et d´un pare-feu sur les postes clients pour empêcher la circulation des vers sur le réseau interne et garder une trace des attaques.

Autre point : se demander de quel service l´entreprise a vraiment besoin. "La plupart des utilisateurs n´ont pas besoin d´avoir accès à FTP, au chat ou au gopher dans le cadre de leur travail. L´administrateur peut alors fermer ces ports pour réduire les risques au minimum", explique le responsable. Sans oublier la mise à jour des applications contre les vulnérabilités connues, la sensibilisation des utilisateurs, le choix des mots de passe solides, la suppression des comptes utilisateurs obsolètes.

"Bien sûr, le responsable informatique n´a pas 50 bras et ne peut pas penser à tous les détails. Des logiciels de détection de vulnérabilité et de problèmes de configuration peuvent alors faciliter son travail", ajoute Adrian Higgins. En tout cas, celui-ci risque d´avoir vraiment besoin d´aide dans les années à venir : les experts annoncent dès maintenant l´arrivée des virus pour des outils nomades ou des nouvelles plate-formes comme Microsoft .Net et les processeurs 64 bits. "Chaque technologie apporte son lot de failles car il y a une phase d´apprentissage où l´on fait beaucoup d´erreurs", précise Adrian Higgins. "Pour se protéger, il faudra pouvoir les anticiper".

Source: Indexel (20/06/2002)

 

Les entreprises font preuve d'un excès de confiance vis-à-vis des menaces d'Internet

Une étude commandée par Genuity et publiée par IDC « Internet Security: Risk Management for the European Enterprise » révèle qu'en Europe, les dirigeants d'entreprises ont tendance à surestimer la capacité de leur entreprise à faire face aux menaces représentées par les failles de sécurité sur Internet. L'étude a examiné l'importance que revêt la sécurité dans la protection des actifs et ressources informatiques des entreprises. Si la plupart des DSI et responsables informatiques sont convaincus d'appréhender les problèmes de sécurité et d'y faire face, IDC a observé un excès de confiance vis-à-vis des menaces émergentes qui créent de nouveaux risques de failles de sécurité, à savoir l'accroissement du télétravail ainsi que l'utilisation de nouveaux terminaux mobiles et de nouvelles applications. Il y a de plus une tendance à une externalisation accrue de la sécurité d'Internet en Europe, motivée par la nécessité de disposer des meilleurs spécialistes en la matière et, parce que pour nombre d'entreprises, il est devenu trop coûteux et trop complexe de gérer la sécurité Internet en interne L'étude 2002 révèle d'ailleurs, que 29 % des entreprises projettent de souscrire des services de sécurité administrés au cours de l'an prochain.

Source: Les Infos.com (07/06/2002)

 

De l'art de choisir le bon mot de passe

Certains mots de passe sont infiniment plus efficaces que d'autres. Quand on choisit bien le sien, le pirate en est réduit à utiliser la puissance brute. De ce côté là, les administrateurs réseau peuvent se rassurer : il faudrait 66 ans à une machine spécialisée pour casser un mot de passe de 8 caractères. Et pour cause : 8 caractères bien choisis parmi les 95 caractères ASCII offrent 6,6 millions de milliards de combinaisons possibles. Mode d'emploi du bon mot de passe :

Comment créer un bon mot de passe ?

Avant tout, il faut bannir tout ce qu'il y a d'humain dans un mot de passe : "il faut éviter d'utiliser un prénom en y ajoutant un chiffre, explique Gerard Peliks, expert de sécurité qui travaille au marketing d'EADS. Dans l'idéal, il faut exploiter au maximum les possibilités d'une suite de huit caractères. Et pour celà, il n'y a pas de secret, le mieux est d'utiliser une application qui génère une suite de chiffres, de lettres et de symboles de façon complètement aléatoire". Des applications de ce type sont déjà utilisées par bon nombre d'administrateurs réseau.

Un mot de passe est-il créé une bonne fois pour toutes ?

Pour Serge Druais - responsable des systèmes d'information chez Thales : "il faut changer son mot de passe régulièrement. Le mieux est d'adapter comme chez nous le nombre et la fréquence des changements au niveau de protection requis pour chaque application".

Comment stocker un mot de passe ? Sur un bout de papier ? Dans sa mémoire ?

Pour Gerard Peliks, "l'idéal est de faire marcher sa mémoire. Mais beaucoup d'utilisateurs y sont réticents, surtout lorsqu'il s'agit d'un mot de passe contenant des caractères spéciaux qui change tous les mois". Il existe pourtant des solutions mnémotechniques qui permettent de retenir plus facilement les longues séries de 8 caractères - ainsi, 8/a^&2+8 donnerait 'huit tordus à galurin et deux poux fuient'. Quelques entreprises ont déja investi dans des formations aux technique de mémorisation. Mais selon Gerard Peliks, "il restera toujours des personnes rétives à la l'apprentissage par coeur. Elles continueront de noter leur mot de passe quelque part. L'essentiel pour ces personnes sera alors de s'arranger pour que nul ne puisse accéder à leur petite note". Serge Druais renchérit : "Chez Thalès, nous ne sommes pas dupes : nous ne croyons pas à la mémorisation. Par contre, nous sommes intransigeants sur la conservation du mot de passe : en aucun cas il ne doit être dévoilé. Certaines personnes parviennent très facilement à se faire passer pour des administrateurs système. Ils prétendent que le mot de passe de l'utilisateur est indispensable pour un acte de maintenance important, et repartent avec les huit chiffres dans la poche ... Un mot de passe, ca ne se dévoile pas".

Comment convaincre les utilisateurs de respecter ces principes ?

C'est sans doute l'un des problèmes les plus délicats. Pour Gerard Peliks, "la plupart des administrateurs sont sensibilisés à la problématique du mot de passe. Par contre, les utilisateurs de leur parc informatique ne le sont pas assez". Manque d'information en interne, ou problème de motivation des individus ? L'exemple de Thalès est parlant : "Chaque fois qu'un salarié rentre chez nous, il doit lire une charte de sécurité comportant un certain nombre de plaquettes informatives qui touchent notamment au problème des mots de passe. Il est aussi chapeauté par le directeur de la sécurité de sa division, qui doit contrôler sa façon de gérer les mots de passe". Pour Gerard Péliks, on peut encore faire mieux : "il faut former les utilisateurs aux problématiques de la sécurité, puis conditionner leur accès à l'internet à leur acceptation d'une charte bien précise, qui les engage à respecter quelques consignes. Proposer un accès à internet en échange d'une signature, c'est sans doute la meilleure façon de motiver un salarié. Quant à la sanction, elle ne doit intervenir qu'en dernier ressort".

Un bon mot de passe est-il suffisant ?

Non. Pour le simple et bonne raison qu'un utilisateur peut très facilement le dévoiler à une personne tierce, qu'un collègue peut le découvrir en observant furtivement le clavier de son voisin, que le petit bout de papier sur lequel on a noté son mot de passe peut tomber dans les mains d'une personne malintentionnée, etc ...

Comment faire mieux qu'un mot de passe ?

De nombreuses technologies permettent de renforcer la sécurité d'un compte utilisateur ou administrateur. Selon Gérard Péliks, "il existe trois solutions : s'identifier par ce que l'on sait - un mot de passe -, par ce que l'on a - une clé physique sur port USB ou lecteur de cartes à puces - ou par ce que l'on est - l'iris et l'emprunte digitale par exemple. Prises individuellement, ses protections sont faibles : on peut toutes les déjouer. Mais si on en utilise deux en même temps, on arrive à un niveau de protection fort". Thalès utilise ce système de redondance :"sur les postes administrateurs importants, nous combinons un mot de passe et une clé physique. Nous avons même commencé à utiliser les solutions de biométrie - que nous commercialisons - pour renforcer la protection des serveurs critiques". Quand à savoir laquelle des trois technologies est la plus fiable, Gérard Peliks confie que "La clé physique est la plus faible : on la perd facilement. Le mot de passe est d'une efficacité correcte. Quant à la biométrie, les systèmes les plus évolués sont nettement plus efficaces encore". En attendant la révolution de la biométrie comportementale, qui permettra d'identifier un utilisateur par la façon de frapper sur le clavier, de se déplacer ou d'appuyer sur son stylo quand il signe.

Source: JDNet Solutions (27/05/2002)

 

Trop de mots de passe inefficaces sur les réseaux

La plupart des mots de passe peuvent être craqués en moins d'une minute : une grande partie des entreprises négligent ce problème crucial. Pourtant, un mot de passe craqué peut ouvrir la voie à la totalité d'un réseau, laissant un pirate détruire toutes les informations qui y sont contenues ou, plus grave, les rapatrier très discrètement sur sa machine. Pour Gerard Peliks, expert sécurité qui travaille au marketing d'EADS, "les utilisateurs de terminaux informatiques sont encore trop nombreux à choisir des mots de passe inefficaces. Quant aux administrateurs, la plupart sont sensibilisés, mais certains ne le sont pas encore".

Pourtant, un mauvais mot de passe peut être craqué très rapidement par tout pirate moyen. Plusieurs logiciels comme "John the Ripper" attaquent la cible à raison de plusieurs dizaines - voir centaines - de mots de passe à la seconde. Ils doivent leur efficacité à leur principe d'action, plus raffiné que la force brute : ces logiciels n'explorent pas chaque combinaison possible. Ils s'appuient sur une bibliothèque de mots de passe courants, ce qui leur permet dans certaines conditions d'en casser plus d'un à la seconde.

Complicité involontaire

Mais ces logiciels ne pourraient rien faire sans l'aide des utilisateurs : c'est le choix de mots de passe conçus autour du prénom d'un proche, du nom d'un animal domestique, ou de tout autre mot de passe trop courant qui leur ouvre la porte d'une machine. Les logiciels de crackage s'appuient en effet sur des bases de données répertoriant la plupart de ces mots de passe usuels. Et inutile d'espérer que quelques chiffres ajoutés à la fin d'un prénom changeront la donne : John the Ripper recense la plupart de ces petites astuces et dispose d'outils pour les contrer.

Résultat : une étude réalisée par Robert Morris et Ken Thompson intitulée "password security, a case history" fait état de chiffres très inquiétants. Sur 3 300 mots de passe analysés, les auteurs ont en trouvé 17% qui comportaient trois caractères ou moins, 15% qui en comportaient 4, 50% de mots de passe étant déchiffrables en moins de six minutes. Or, selon Gerard Peliks, "le niveau de sécurité d'un réseau se mesure à la force de résistance de son maillon le plus faible : à partir d'un compte utilisateur situé en périphérie d'un système d'information, un bon pirate pourra peu à peu remonter au compte de l'administrateur central". De quoi donner des inquiétudes sur l'état de protection des réseaux dans le monde.

Dans la plupart des cas, le mot de passe n'est heureusement pas la seule protection d'un réseau. Pour parvenir jusqu'à une machine, et pour tester sur elle quelques dizaines de milliers de mots de passe, il faut souvent déjouer la surveillance d'un Firewall. Il faut aussi parfois réussir à tromper la sonde de détection d'intrusion qui repère les tentatives à répétition. Mais selon Gerard Peliks, "lorsque l'ont sait que certains administrateurs se contentent du mot de passe par défaut de leurs serveurs, ce même mot de passe très simple qui figure dans la notice du logiciel, on peut douter que les firewalls bien configurés et les sondes de détection soient systématiquement utilisés. D'ailleurs, les firewalls sont à mon sens souvent inutiles, car la plupart des attaques réussies viennent de l'intérieur, ou bénéficient d'une complicité interne".

Conséquences graves

Si un pirate parvient à rentrer dans le compte administrateur du serveur central, tout le réseau lui appartient : "Tous les mots de passe du réseau sont stockés sur une machine, et il est relativement facile de les décrypter une fois qu'on y est entré. A partir de ce moment là, le pirate peut donc se connecter sur n'importe quel poste, et récupérer ou détruire les informations qui l'intéressent". Ce qui est arrivé à quelques fournisseurs de services internet dont les mots de passe ont été récupérés par dizaines de milliers par des pirates, et qui n'ont pas demandé à leurs abonnés de changer leurs comptes.

Pour éviter ce type de désagréments, les administrateurs ont tout intérêt à soigner leur gestion des mots de passe. (...)

Source: JDNet Solutions (24/05/2002)

Le CERT dresse un bilan des attaques informatiques

Virus, vers, intrusions, détections de ports ouverts..., le nombre des attaques informatiques ne cesse de croître. Tout comme les méthodes et outils de leurs auteurs, de plus en plus autonomes et efficaces. C'est ce que révèle le CERT, organisme chargé de sécurité informatique, dans un rapport publié le 8 avril. Inquiétant.

"Le niveau d'automatisation des attaques [informatiques] continue de croître", écrit le CERT (Computer Emergency Response Team), organisme chargé de sécurité informatique et dépendant de l'institut d'ingénierie logicielle de l'université de Carnegie Mellon (Etats-Unis), dans un rapport qui vise à analyser les nouvelles méthodes des pirates. Et ce n'est pas triste. Alors que le nombre d'attaques de machines double chaque année, le centre de coordination du CERT relève six grandes tendances, ou méthodes, pour pénétrer, malmener ou exploiter un système à ses dépens.

La première d'entre elle est l'automatisation des outils nécessaires aux attaques. Non seulement les scanneurs de ports non protégés sont plus rapides et performants qu'avant, mais ils savent désormais exploiter immédiatement une faille détectée sans attendre la fin du scan. Et si auparavant, seule une intervention humaine permettait d'initier une attaque, les outils sont aujourd'hui capables de s'en charger. CodeRed ou Nimda en sont les tristes exemples. Enfin, cerise sur le gâteau, les outils savent désormais se coordonner afin de lancer des attaques en nombre comme les attaques incapacitantes (denial of service ou DoS). Pour cela, ils s'appuient notamment sur les messageries IRC (Internet Relay Chat).

Si les outils ont évolué, les méthodes également. Les outils utilisés par les attaquants sont de plus en plus discrets et savent effacer les traces de leur passage tout en se rendant invisibles aux yeux des antivirus et firewalls. De plus, l'évolution des outils, leur comportement évolutif et dynamique et la vitesse des attaques laissent peu de temps à l'administrateur pour analyser le problème et y répondre efficacement. Les "pirates" savent notamment se fondre dans les flux "normaux" du trafic d'un serveur et il devient alors difficile de repérer l'intrus.

Exploiter les faiblesses des applications

Troisième tendance, les pirates profitent des imperfections des applications avant que les éditeurs n'aient eu le temps de proposer un correctif. D'ailleurs, celui-ci intervient généralement après qu'un incident a été rapporté à l'éditeur. Même les administrateurs les plus sérieux qui appliquent à la première heure les patchs de correction n'ont donc aucune garantie de ne jamais être victimes d'une attaque. La quatrième tendance consiste à exploiter la perméabilité des firewalls dont la configuration par défaut ne protège généralement pas certains protocoles comme l'IPP (Internet Printing Protocol) ou le WebDAV (pour le travail collaboratif en ligne). Un vrai tapis rouge pour les personnes malintentionnées.

Cinquième tendance, l'asymétrie des attaques. Aujourd'hui, ce n'est plus une machine contre une autre mais des dizaines, des centaines voire des milliers contre une seule (un serveur en général). Les outils des pirates leur permettent de piloter à distance PC et routeurs, ce qui permet notamment de lancer des requêtes en grand nombre qui vont saturer le système ciblé. Cette technique n'est autre que le DoS et fait partie des quatre menaces recensées par le CERT. Le ver (qui est capable de s'auto-propager) et les attaques de serveurs de noms de domaine (DNS) et de routeurs sont les autres menaces qui planent régulièrement sur les systèmes informatiques.

Informer pour mieux prévenir

A travers ce rapport inquiétant, l'objectif du CERT n'est pas de recenser le nombre précis d'attaques et encore moins pointer du doigt les systèmes et entreprises les plus faillibles, mais simplement d'informer d'un problème grave de sécurité informatique afin d'y répondre de la meilleure manière. Pour cela, le CERT donne, en fin de rapport, les liens vers des pages qui traitent en profondeur des attaques évoquées. Comme, par exemple, les erreurs de configuration des DNS à éviter. De bonnes adresses, assurément.

Source: VNUNet (11/04/2002)

 

Les nouveaux pirates informatiques peuvent couler votre entreprise

Monsieur X, éminent représentant de l'Ecole polytechnique, se rend début 1996 à l'université de Haïfa, en Israël. Lors de son séjour, il doit de toute urgence se connecter au réseau informatique de l'école, en France. Dans un bel élan de confraternité, ses collègues israéliens lui proposent d'utiliser un ordinateur de l'université. Il se met alors au travail. Quelques mois plus tard, les agents spécialisés de la DST sont aux abois. Le réseau informatique de Polytechnique, supposé protégé, a été victime de multiples intrusions. Les enquêteurs ont vite fait de remonter la piste des pirates jusqu'en Israël. Sans le savoir, lorsqu'il s'est connecté, à Haïfa, Monsieur X a livré ses précieux mots de passe à une taupe électronique, un petit programme baptisé sniffer, ou renifleur, installé par un pillard sur le réseau de l'université israélienne. 

L'enquête suit son cours pour tenter d'évaluer l'ampleur des dégâts. Pour l'heure, l'affaire vient s'ajouter à une liste déjà longue de crimes et de délits high-tech. Car les pirates informatiques ont le vent en poupe, stimulés comme jamais par le boom des systèmes d'information des entreprises et par le succès du réseau mondial Internet. Aujourd'hui, même les institutions réputées les mieux protégées ne peuvent plus prétendre être à l'abri. En août dernier, des pirates ont pris possession du site de la CIA sur Internet. Ils ont agrémenté son contenu d'histoires salaces et modifié l'emblème de l'agence pour la rebaptiser Central Stupidity Agency. 

Le piratage informatique n'épargne désormais aucune nation ni aucun secteur d'activité. En France, son coût s'est élevé l'an dernier à environ 7 milliards de francs, contre 2,3 milliards en 1985, selon le Club des utilisateurs de systèmes informatiques français (Clusif). Aux Etats-Unis, le cabinet Information Analytics estime que ces crimes coûtent 50 milliards de francs par an aux entreprises américaines. Jamais les pirates n'ont été si actifs: en 1995, les ordinateurs du département américain de la Défense auraient subi quelque 250 000 attaques. De son côté, l'Association des banques britanniques évalue à 40 milliards de francs par an les conséquences du piratage informatique pour le seul secteur bancaire. 

De Washington à Tokyo, ce phénomène est pris très au sérieux. En France, la DST possède depuis dix ans son département des systèmes d'information. En 1994, deux services spécialisés de la Police judiciaire ont été créés: le Service d'enquêtes sur les fraudes aux technologies de l'information (Sefti) et la Brigade centrale de répression de la criminalité informatique (BCRCI). De leur côté, les Japonais ont constitué un service interministériel chargé de la sécurité informatique. Enfin, aux Etats-Unis, une centaine d'agents spécialisés dans la lutte contre le computer crime travaillent au sein des agences fédérales concernées par ces problèmes (FBI, justice, douanes, défense, Trésor...) et plusieurs Etats, dont la Californie et l'Etat de New York, disposent d'unités de pointe.   

Il y a dix ans, c'étaient des gosses. Aujourd'hui, ce sont des pros 

Le crime informatique n'est certes pas une nouveauté. En 1970, John Draper s'était rendu célèbre aux Etats-Unis pour ses fraudes téléphoniques. A cette époque, le téléphone ignorait encore le numérique, et, avant de joindre son correspondant, on pouvait entendre les tonalités émises par les divers commutateurs acheminant les appels longue distance. Quelques pirates avaient bricolé de petits appareils reproduisant ces tonalités pour s'approprier des lignes et téléphoner gratuitement et à volonté. John Draper faisait encore plus simple. Il s'était donné le sobriquet de Captain Crunch, nom de la marque d'une boîte de céréales offrant un sifflet en plastique dont il avait découvert que le son correspondait exactement au bruit d'un commutateur longue distance. 

Dans un autre style, en 1982, Kevin Mitnick, 18 ans, devenait un héros national en s'introduisant dans l'ordinateur du commandement de la défense aérienne d'Amérique du Nord et en prenant le contrôle de plusieurs standards téléphoniques, à Manhattan et en Californie. Ces actions spectaculaires étaient alors l'oeuvre d'une poignée de jeunes hackers (pirates informatiques) animés par le goût du défi. Depuis quelques années, leur profil a évolué. «Dans les années 80, nous avions affaire à quelques gosses. Aujourd'hui, les pirates sont plus âgés, plus nombreux, mieux organisés, et emploient des techniques très sophistiquées dans un but bien précis: faire du profit», résume Scott Charney, patron de la Computer Crime and Intellectual Property Section, du département de la Justice américain. 

Nicolas Sadirac, un ancien pirate aujourd'hui consultant en sécurité informatique, résume ainsi l'évolution récente: «Pirater un réseau ou un site Web est plutôt facile. Le plus compliqué est d'industrialiser l'intrusion, de mettre en place des méthodes pour réussir à tous les coups.» Et ils sont de plus en plus nombreux à se lancer dans ce type de business très fructueux. Les jeunes prodiges sont toujours très actifs, mais leurs exploits sont désormais occultés par ceux de deux nouveaux types de hackers: les escrocs et gangsters de tout poil, d'abord, qui se servent des réseaux informatiques et téléphoniques pour détourner des fonds; les mercenaires, ensuite, qui agissent pour le compte d'entreprises ou d'Etats à des fins d'espionnage ou de destruction. 

Dans le contexte actuel de guerre économique, les officines de renseignements prospèrent de façon insolente. «On retrouve dans ces agences beaucoup de hackers, des ingénieurs des pays de l'Est de haut niveau, d'anciens agents des services de renseignements, et la mafia s'intéresse également de près à ces activités», explique Jean-Marc Lamère, directeur adjoint de la Fédération française des sociétés d'assurances et fondateur du Clusif.   

Les nouveaux objectifs: fichiers clientèle et listes de prix 

En un sens, les entreprises ont facilité la tâche des pirates: avec l'émergence de l'informatique de réseau, puis d'Internet, elles rajoutent sans cesse des portes dérobées à leur système d'information, et les accès frauduleux se multiplient. Selon une récente étude réalisée par des chercheurs de l'université du Michigan, les fraudes aux cartes de crédit ou aux télécommunications restent encore les plus fréquemment dénoncées par les 200 entreprises interrogées. Celles-ci relèvent cependant une croissance inquiétante d'un nouveau style d'attaque: le vol ou la tentative de vol de fichiers de clientèle, de secrets commerciaux, de plans de recherche et développement, ou encore de listes de prix. L'Institut de la sécurité informatique, installé à San Francisco, a récemment interrogé sur ce thème 428 entreprises américaines. Parmi elles, 42 % ont reconnu avoir été victimes d'une attaque de leur réseau informatique au cours de l'année écoulée. «Les grandes entreprises se mettent à faire ce que les gouvernements ont toujours fait: elles tentent par tous les moyens de recueillir l'information qui leur est nécessaire, observe Daniel Kuehl, un spécialiste américain des technologies de l'information. Appelez cela de l'espionnage... mais si l'entreprise ne le fait pas, ce n'est pas très bon pour les actionnaires.» C'est aussi le raisonnement de la société LifeScan. Les dirigeants de cette filiale du géant américain Johnson & Johnson incitaient ouvertement leurs employés à espionner la concurrence. Ceux qui obtenaient les meilleures informations recevaient le titre d'Inspecteur Clouseau ou de Columbo au cours d'une cérémonie de remise des prix. Un concurrent allemand, Boehringer Mannheim, a peu apprécié le sens de l'humour de LifeScan et vient de porter plainte. 

Apparemment, la guerre de l'information économique ne se limite pas aux activités de renseignement. Le sabotage de réseaux informatiques fait aussi partie de la panoplie des outils d'espionnage industriel. «Nous avons reçu les témoignages d'entreprises victimes d'attaques alors qu'elles étaient à la veille de lancer une OPA ou d'obtenir un important marché, observe Jean-Marc Lamère. Autrefois, un directeur général aurait été mystérieusement renversé par une voiture.» 

Les pirates connaissent les passages secrets qui mènent aux informations les mieux protégées. Il leur suffit par exemple de localiser une trap door, mécanisme permettant de prendre à distance le pouvoir d'une machine ou d'un système en contournant le contrôle d'accès. Plus besoin de mot de passe. Ce système est normalement prévu pour les équipes chargées de la maintenance du réseau, ou en cas de perte d'un code d'accès. Une fois dans la place, les pirates peuvent installer toutes sortes d'outils d'espionnage et de destruction, ou simplement dérober de l'argent. C'est le cas de ce technicien d'une société de sous-traitance chargée de la maintenance d'un réseau d'appareils de change automatique en région parisienne. L'informaticien était rentré par la ligne de maintenance pour atteindre le logiciel de calcul et en modifier quelques paramètres, du style 100 lires = 100 francs. 

Mais il existe d'autres accès possibles. «Il suffit qu'un PC mal protégé se connecte une demi-heure par jour à Internet pour que les pirates s'y engouffrent et accèdent au réseau local», observe le consultant Hervé Schauer. Les intrus utilisent également les bugs, des défauts de fabrication de logiciels ou de systèmes d'exploitation. Ces failles sont connues, et même recensées très officiellement par des chercheurs sur certains sites Web. 

«Avec la banalisation des outils de piratage et de destruction, n'importe qui peut aujourd'hui se transformer en hacker», observe Pascal Lointier, consultant chez PSI. Les logiciels permettant de prendre le contrôle d'un système informatique ou d'écouter une ligne téléphonique sont de plus en plus conviviaux et sont disponibles gratuitement sur Internet, ou enregistrés sur des CD-ROM en vente libre. L'un d'entre eux, acheté dans une boutique parisienne, se présente dans une élégante pochette noire avec cette seule mention: «Have Phun». On y trouve les dernières techniques de hacking (piratage informatique), de phreaking (piratage téléphonique), et une panoplie de virus. On vous y enseigne aussi l'art du carding avec le logiciel Credit Master: choisissez votre banque dans une liste de 1 500 établissements existants, entrez la date de validité de votre carte de crédit et la machine vous propose une dizaine de numéros de cartes cohérents et utilisables à volonté. 

Les pirates disposent d'une très large palette d'outils, plus ou moins sophistiqués, pour parvenir à leurs fins. «Mais l'essentiel de leur travail réside dans le social engineering, explique un spécialiste de la DST. Une intrusion dans un système informatique nécessite au préalable un long travail d'enquête sur l'entreprise. Certains pirates font les poubelles pour récupérer des listings ou toutes sortes d'informations utiles.» 

L'envoi de questionnaires par courrier est aussi une méthode très prisée. Récemment, une société de renseignements privée, sous le couvert d'une association d'amitié franco-canadienne, interrogeait des entreprises françaises sur des points apparemment anodins: effectifs, heures d'ouverture, configuration du réseau informatique... «Aujourd'hui, rien n'est impossible pour un hacker. C'est juste une question d'imagination», confirme Scott Charney. Les douze juges fédéraux qui composent sa section combattent une meute composite. 

Très efficace: le chantage au cataclysme informatique 

Il y a, par exemple, le truand condamné en justice qui pénètre dans le réseau informatique du tribunal pour alléger sa peine. Il y a aussi l'arnaque aux jeux radiophoniques qui offrent de merveilleux cadeaux «au neuvième appel pris au standard». Les jeunes pirates avaient pris le contrôle dudit standard et l'avaient reprogrammé pour être bien sûrs que leur appel soit systématiquement sélectionné. Il y a encore les affaires de chantage à la bombe logique (un logiciel informatique), dont voici grossièrement le modus operandi: en pleine semaine, à 10 heures tapantes, les ordinateurs du siège central d'une banque perdent subitement des centaines de fichiers. Un message laconique apparaît ensuite sur les écrans, demandant le versement d'une rançon avant le lendemain, même heure, faute de quoi une deuxième bombe logique dissimulée dans le réseau bloquera définitivement le système informatique de l'établissement. Depuis 1993, une quarantaine de banques ou d'institutions financières américaines et britanniques auraient été victimes de chantages de ce type. Selon les services de police britanniques, ces bandes de maîtres chanteurs, disposant de moyens très sophistiqués, auraient extorqué plus de 3 milliards de francs ces trois dernières années. 

Les experts américains de la National Security Agency (NSA) ont identifié quatre gangs spécialisés dans l'attaque de banques. Au moins l'un d'entre eux serait basé en Russie, où l'on trouve quelques-uns des informaticiens les plus expérimentés du monde. L'an dernier, le FBI et la police de Saint-Pétersbourg ont arrêté une bande de pirates qui avaient réussi à subtiliser les codes secrets de clients de la Citibank et à s'introduire sur le réseau de l'établissement, réputé inviolable. En l'espace de cinq mois, ils ont détourné plus de 50 millions de francs, qu'ils ont déposés sur différents comptes bancaires à travers le monde. La Citibank n'a pu récupérer qu'environ 2 millions de francs sur la somme totale dérobée. 

Les établissements français ne sont évidemment pas épargnés. Et, aujourd'hui, leurs moyens de riposte ne sont pas à la hauteur de la menace. «Malheureusement, il n'y a pas d'obligation de porter plainte dans ces cas», déplore le commissaire principal Daniel Padoin, patron du Sefti. Surtout, les victimes, craignant de mettre en péril leur image, ne saisissent la police qu'en toute dernière extrémité. «Si une entreprise vient nous voir, c'est qu'elle est confrontée à un gros problème qui met en question sa survie», regrette Daniel Padoin.   

88 % de réussite pour les tests d'intrusion du Pentagone 

Encore faut--il que l'acte de piratage soit détecté. «Dans plus de 80 % des cas, la victime ne remarque même pas l'intrusion», soupire le commissaire principal Marcel Vigouroux, patron de la BCRCI. Au début des années 90, la Compagnie des signaux avait bien commencé à travailler sur la détection d'intrusions informatiques. Le projet dort aujourd'hui dans un placard. Durant trois ans, la Defense Information Systems Agency (Disa) s'est livrée à un exercice insolite. L'un de ses agents, Robert Ayers, a dirigé une équipe de hackers et opéré quelque 18 000 tests d'intrusion en utilisant des logiciels grand public. Taux de réussite: 88 %. Et dans 96 % des cas les intrusions n'ont pas été repérées. En fin de compte, seuls 4 % des cas détectés ont été rapportés. 

Le premier souci des experts en sécurité informatique est aujourd'hui de sensibiliser les entreprises aux risques encourus. «En France, comme aux Etats-Unis, environ 80 % des informaticiens d'entreprise n'ont jamais suivi de formation à la sécurité», commente Jean de Birmingham, consultant chez Steria. Les colloques sur ce thème se multiplient et les spécialistes de la DST en personne organisent une centaine de conférences gratuites chaque année à leur intention. La coopération internationale se met en place: huit polices européennes ont créé un groupe de travail sur le crime informatique dans le cadre d'Interpol. La collaboration semble plus difficile avec les agences fédérales américaines. Pour Scott Charney, «l'explication est d'abord logistique: dans notre métier, nous devons travailler très vite et, pour des raisons de décalage horaire et de lourdeurs administratives, nous ne pouvons pas coopérer en temps réel». Les raisons sont aussi politiques. Car entre Paris et Washington, la suspicion est de mise. Français et Japonais ont à plusieurs reprises accusé la CIA de pirater leurs réseaux téléphoniques dans le but de mettre la main sur des accords commerciaux confidentiels. Les autorités européennes soupçonnent également la CIA d'avoir piraté des ordinateurs de la Commission et du Parlement européens pour y dérober des secrets politiques et économiques, et permettre aux négociateurs américains du Gatt de se présenter en position de force.   

La France, une proie recherchée et très vulnérable 

De son côté, Washington accuse la DGSE de piller les entreprises américaines. Les agents secrets français auraient notamment dérobé à IBM, au début des années 90, les plans secrets de sa future génération de PC pour les céder ensuite à Bull! Dans une autre affaire, un employé français de Corning aurait vendu une technologie fibre optique dernier cri à la DGSE, qui l'aurait transmise à un concurrent français. Texas Instruments est également sur la liste des victimes. Ces exploits vaudraient à la France de figurer en bonne place, aux côtés de la Chine et d'Israël, sur une liste confidentielle d'une quinzaine de pays ayant «des possibilités technologiques et des intentions nuisibles», dressée par les services secrets américains. De leur côté, les experts du département de la Défense estiment que 120 pays développent actuellement des techniques de guerre de l'information. 

La France n'en reste pas moins une proie très recherchée et très vulnérable. Peu à peu, les agents de la DST découvrent les ravages que peut produire une affaire comme celle de Polytechnique. Car le réseau de l'X est, bien sûr, connecté à des dizaines d'autres réseaux d'administrations, d'universités ou d'entreprises travaillant dans des secteurs sensibles. Et les pirates ne se sont apparemment pas contentés de jouer sur les ordinateurs de l'école: au total, les réseaux de 70 établissements ont été visités. Reste maintenant aux victimes à mesurer les répercussions économiques et financières de ce piratage. Mais, pour certains, le mal est déjà fait.   

Ces ex-pirates sont passés de l'autre côté de la barrière 

Ils étaient cinq pirates, «parmi les meilleurs au monde», reconnaît un policier. Ils sont aujourd'hui consultants en sécurité informatique. Un parcours naturel aux Etats-Unis, où l'on considère les hackers comme les détenteurs d'un savoir-faire. En France, on ne tranche pas aussi ouvertement. Mais les militaires composent les deux tiers de la clientèle d'IntrinSec, la société fondée par les cinq compères. Leur spécialité: les tests d'intrusion. Les victimes sont devenues des clients. «Le concept nous a valu pas mal de problèmes dans le passé», rappelle Nicolas Sadirac, 27 ans, l'aîné de la bande. Ils se sont rencontrés à l'Epita (Ecole pour l'informatique et les techniques avancées). Ensemble, ils ont visité la plupart des réseaux militaires français et ceux des grandes écoles. Aujourd'hui encore, ils réussissent leurs coups dans 96 % des cas.   

Ils volent vos secrets 

1995. Cinq membres de la secte Aum Shinri Kyo s'introduisent par effraction sur un site de Mitsubishi Heavy Industries. Le commando se connecte au réseau privé du groupe nippon et télécharge sur un ordinateur portable des centaines de fichiers confidentiels. Cet épisode fait partie d'une série d'attaques perpétrées, en l'espace de quelques mois, par la secte contre plusieurs firmes japonaises du secteur électronique.   

Ils détournent vos fonds 

Décembre 1995. Un informaticien de la Caisse régionale d'assurance maladie d'Ile-de-France installe un programme parasite sur un logiciel servant à payer les fournisseurs. Tous les versements supérieurs à 100 000 francs sont reroutés vers le compte d'une société en sommeil: 17 millions de francs sont détournés en quinze jours. Grâce à la vigilance d'un banquier, le pirate et une bande de truands belges sont arrêtés peu après.   

Ils vous ridiculisent 

Septembre 1996. Le groupe AB Productions possède son site Web, où il présente ses activités. Une bande de pirates a eu le coup de foudre pour sa productrice vedette, Dorothée. Après s'être introduits sur le serveur, ils remplacent les photos du Club Dorothée par des clichés truqués où l'on peut voir la tête de l'animatrice affublée de splendides corps dénudés. Les photos restent exposées plusieurs jours. 

Ils débarquent en force 

Le nombre de crimes informatiques a été multiplié par dix en dix ans. En réalité, ce chiffre est au moins dix fois supérieur: les entreprises restent discrètes, craignant que ces «incidents» ne nuisent à leur image. Les accès frauduleux sur le réseau avec modification de données constituent 53 % des infractions. 

Lexique:

Les criminels informatiques disposent d'une vaste palette de méthodes et d'outils logiciels ou électroniques. Toutes ces techniques sont expliquées dans le détail sur Internet. Voici les dix mots clés du piratage. 

Bombe logique: Programme dissimulé par un pirate sur un réseau informatique. A la date et à l'heure voulues, il déclenche une action non autorisée (effacement de fichiers...) 

Brute force attack: Harceler de mots de passe un ordinateur ou un réseau informatique jusqu'à ce qu'il cède. 

Cheval de Troie: Fonction installée clandestinement par un pirate sur un programme informatique pour se rendre maître de la sécurité d'un réseau. 

Fouille de poubelles: Technique très utilisée par les pirates pour retrouver des informations sensibles. Ils peuvent aussi recons- tituer des données effacées à partir de vieilles bandes ou de disquettes. 

Kit de radiations Van Eck: Appareil qui intercepte et qui reconstitue les radiations électromagnétiques d'un écran d'ordinateur. Le pirate, situé à une centaine de mètres, peut ainsi lire un document affiché à l'écran. 

Phreaking: Détournement de centraux téléphoniques permettant de téléphoner gratuitement. Les pirates utilisent des logiciels spécifiques. 

Sniffer: Programme chargé d'enregistrer le trafic sur un réseau. Il mémorise notamment les premiers bits d'un paquet d'informations, où sont inscrits les mots de passe de l'utilisateur. 

Social engineering: Travail préparatoire à une attaque consistant à acquérir des informations sur l'environnement informatique d'une entreprise (configuration du réseau, emploi du temps de certains cadres...). 

Spoofing: Envoyer un courrier électronique contenant des messages faux ou nuisibles en se faisant passer pour un expéditeur connu du destinataire. 

Stagiaires: De vrais-faux étudiants stagiaires sont utilisés à des fins de social engineering, ou pour placer des logiciels espions.   

Les quatre temps de l'offensive d'un pirate 

Première phase: les préparatifs 

A Londres, depuis son ordinateur connecté au réseau téléphonique, le pirate parvient à détourner un autocommutateur de British Telecom après s'être procuré des mots de passe. Il appelle, aux frais de l'opérateur, vers le central d'une autre compagnie de téléphone en Europe, puis, de là, vers l'Amérique du Sud. Ayant ainsi brouillé les pistes, il termine sa course aux Etats-Unis, où il possède des abonnements chez deux fournisseurs de services Internet (ISP, Internet Service Provider). Les deux sociétés ont été réglées avec de fausses cartes de crédit dont les numéros ont été générés par un logiciel trouvé sur Internet. 

Deuxième phase: l'attaque 

Sur le réseau local des ISP, le pirate dissimule un programme sniffer, qui mémorise les mots de passe des utilisateurs, notamment ceux des chercheurs du Rome Laboratory. Ce centre de recherche de l'US Air Force, situé dans l'Etat de New York, dispose d'un réseau interne connecté au réseau attaqué. Le pirate se fait ensuite passer pour un chercheur et accède à distance à une, puis à sept machines du laboratoire. Il y installe autant de sniffers et, en quelques jours, gagne l'accès à l'ensemble du réseau. 

Troisième phase: le pillage 

Le pirate est comme à la maison. Il lit le courrier électronique du personnel, le copie, puis le détruit. Il copie aussi des centaines de fichiers confidentiels. Lorsqu'un fichier est trop volumineux pour la mémoire de son ordinateur, il le stocke chez son ISP, à l'insu de ce dernier. 

Quatrième phase: la contagion 

Le pirate se sert du laboratoire comme d'une plate-forme pour lancer des attaques vers d'autres cibles. En usurpant à nouveau l'identité électronique des chercheurs, il parvient à accéder à des sites sensibles américains (Nasa, bases militaires, sociétés du secteur de la défense...) et étrangers (Otan, Institut de recherche atomique de Corée du Sud).   

R. Pryce

En mars 1994, Richard Pryce, un hacker (pirate informatique) londonien de 16 ans, prend le contrôle du Rome Laboratory, un centre de recherche de l'armée de l'air américaine. Il y dérobe des informations confidentielles comme les codes secrets des ordres envoyés aux pilotes en temps de guerre. Puis il s'attaque à d'autres sites militaires et civils. Pryce semble agir sur les ordres d'un mentor, baptisé Kuji, avec lequel il correspond sur Internet et auquel il remet les informations dérobées. Le coût des dommages au seul système informatique du centre est estimé à 1 million de francs. Mais les militaires n'ont pas évalué le coût de la perte de confidentialité de données secrètes. Richard Pryce est interpellé le 12 mai 1994. On ignore toujours la véritable identité de Kuji ainsi que la destination des informations volées.   

Sécurité: six commandements de base 

1/ Expliquez en interne pourquoi et comment vous protégez vos systèmes d'information. Les procédures de sécurité doivent être écrites et rappelées aux utilisateurs sous une forme simple. Exemple: en inscrivant les dix règles de base sur les tapis de souris (ne pas afficher les mots de passe, ne les communiquer à personne, ne pas utiliser de disquettes ou de logiciels extérieurs à l'entreprise...). 

2/ Contrôlez les accès extérieurs à votre réseau. Les accès à Internet et le système de messagerie électronique, notamment, doivent être sécurisés. «En l'absence de sécurité, ne pas hésiter à adopter des solutions temporaires», conseille le consultant Hervé Schauer. Exemple: installer la connexion à Internet sur un poste isolé du réseau interne. 

3/ Sensibilisez vos employés mobiles: Les cadres en déplacement à l'étranger, équipés d'un ordinateur portable, sont des cibles faciles. Les experts de la DST s'inquiètent de la multiplication de ce type d'attaques. Récemment, un cadre en voyage en Asie a eu un choc en regagnant sa chambre d'hôtel. Du genre maniaque, il s'est aperçu qu'il manquait une vis à son portable: l'ordinateur avait été démonté, le disque dur désinstallé et son contenu recopié. Mais la machine avait été remontée à la hâte. La DST recommande des mesures draconiennes: ne jamais laisser un ordinateur portable sans surveillance dans une chambre d'hôtel et encore moins dans le coffre de l'établissement. La solution: confier son portable au consulat de France local et recourir au bon vieux système des fiches. 

4/ Maîtrisez vos relations avec vos partenaires économiques: l'échange d'informations doit être strictement contrôlé. Et l'accès du partenaire à votre réseau restreint aux seuls domaines visés par la coopération. 

5/ Déconnectez les ordinateurs du réseau en dehors des heures de travail et verrouillez votre standard téléphonique. Une machine allumée et connectée au réseau durant un week-end est un point d'entrée potentiel pour les pirates. Aux Etats-Unis, de nombreuses administrations coupent carrément leur standard téléphonique après 18 heures. 

6/ Isolez du réseau vos employés en instance de départ. En leur laissant leur outil informatique, vous vous exposez aux risques de vengeance ou d'espionnage industriel.   

La guerre de l'information s'apprend au fort McNair 

Le professeur Daniel Kuehl est historien, spécialiste de la stratégie militaire. Chaque matin, il franchit le poste de contrôle du fort McNair, un camp militaire situé au milieu des quartiers sud de Washington DC. Il dispose ici d'un bureau de 6 mètres carrés, comme tous les membres du corps professoral d'une institution méconnue: l'Ecole de guerre de l'information, une entité de l'Université de défense nationale. Inutile de réclamer le programme des matières enseignées: «Les thèmes de nos cours sont top secret parce que la plupart de nos élèves appartiennent à des services top secret», explique Daniel Kuehl. Ses étudiants sont attentifs et volontaires: 75 % sont des officiers des différents corps de l'armée américaine. Les autres viennent de l'administration, ils sont agents fédéraux ou shérifs de comté. Depuis deux ans, l'école accueille au compte-gouttes des représentants du secteur privé: un cadre haut placé de General Motors ou une journaliste d'Associated Press ont été acceptés dans ce cercle très fermé. 

«L'objet de notre enseignement est de traiter l'information comme une composante essentielle du pouvoir sous toutes ses formes: militaire, politique ou économique, précise Daniel Kuehl. Nous sommes entrés dans l'ère de l'information, cela signifie qu'il n'est plus nécessaire de recourir à la violence pour mener la guerre. Qu'une entreprise peut démolir un concurrent en s'attaquant à son réseau informatique ou à ceux de ses sous-traitants.» 

Les étudiants apprennent à se familiariser avec cet environnement généré par les nouvelles technologies. Ils découvrent les moyens de dénicher de l'information sur les réseaux en restant dans un cadre légal, du moins officiellement. Ils étudient les techniques de défense... et de riposte. Sujet de travaux pratiques: «Le système informatique d'un centre de contrôle aérien est la cible d'une attaque. Choisissez la parade et la riposte appropriées en fonction des auteurs possibles: un pirate, une organisation terroriste ou un gouvernement étranger». 

Source: L'Expansion (21/11/1996)