Après l’Allemagne, les Etats-Unis et la Grande-Bretagne, voilà que la France se plaint d’attaques de cyberpirates chinois. Nos économies seraient-elles noyautées par les Asiatiques? Les réponses de deux enseignants de l’UNIL, une spécialiste de la cybercriminalité et un expert de la Chine.
A l’heure où l’Empire du Milieu ne se contente plus de fournir la planète en produits bas de gamme, mais impose des coopérations technologiques à ses partenaires d’affaires, et dispose d’un pactole pour acheter des entreprises occidentales, la naïveté n’est plus de mise.
En Suisse, comme ailleurs, les entreprises et les particuliers ont multiplié les portes d’entrée vers des données potentiellement intéressantes pour des concurrents – entreprises ou Etats – via les très nombreux ordinateurs reliés à Internet.
«Tout le monde espionne tout le monde»
Faut-il pour autant attribuer aux Chinois la palme des intentions malveillantes? Solange Ghernaouti-Hélie se garde bien de franchir le pas. Titulaire de la chaire Télécommunication et Sécurité à la Faculté des HEC de l’Université de Lausanne, elle enseigne notamment le management de la sécurité des technologies de l’information. Experte auprès de diverses institutions de recherche et de lutte contre la cybercriminalité, auteure de plusieurs ouvrages consacrés à cette thématique, elle considère que les menaces qui pèsent sur les entreprises ou sur le pays sont bien réelles. Selon Solange Ghernaouti-Hélie, les sociétés vivent bel et bien dans un contexte de «guerre économique» dans lequel «tout le monde espionne tout le monde».
Les pièges d’Internet
Chacun étant potentiellement la cible de l’autre, les Etats en sont venus à négocier des règles communes de bonne conduite: «La convention du Conseil de l’Europe sur la cybercriminalité, signée en 2001 à Budapeste, identifie différents types d’infractions et le besoin de coopération internationale pour lutter contre, se réjouit Solange Ghernaouti-Hélie. Il s’agit de la première convention pénale à vocation universelle destinée à lutter contre le cybercrime, réalisée dans une optique d’harmonisation des législations des Etats signataires et favorisant la coopération internationale, notamment en matièr d’extradition et d’entraide.»
Comment se protéger?
Si les pièges d’Internet sont multiples, les manières de s’en prémunir le sont également. La première étant, pour tout un chacun, de ne jamais oublier que «d’envoyer un message sur Internet revient à parler à haute voix dans une pièce, sans savoir qui se trouve dans la pièce voisine », relève la spécialiste lausannoise.
Autre méfiance à cultiver: qu’en est-il de la confidentialité des échanges et des données lorsque l’on sait que l’administrateur système de l’entreprise a potentiellement accès à toutes les données échangées sur Internet par les collaborateurs de l’entreprise, les vôtres, comme celles du grand patron?
Voilà pour les comportements à adopter à l’intérieur de l’entreprise. Mais au dehors, quelles sont les menaces qui planent? Et quels sont les adversaires aux aguets? Tour d’horizon en cinq questions.
Quel est le principal danger qui guette les entreprises en matière de cybercriminalité?
Le maillon faible en matière de sécurité informatique peut être un collaborateur de l’entreprise, répond Solange Ghernaouti-Hélie. Soit parce qu’il est mécontent, soit – le plus souvent – parce que les procédures de travail ne tiennent pas suffisamment compte du risque informationnel, qu’il soit d’origine criminelle ou non.
Le contrôle de votre ordinateur peut être pris à distance après infection de votre machine par un virus particulier (de type «cheval de Troie») introduit à votre insu via le réseau ou via une clé USB, rendant possible toutes sortes de malveillances (vol, détournement de données, leurre…), poursuit l’experte de l’UNIL. Comme par exemple l’envoi d’un message par le fraudeur, qui se fait passer pour votre supérieur hiérarchique et vous enjoint de communiquer des informations qui, normalement, devraient rester internes à l’entreprise.
«Un ordinateur piraté peut être utilisé pour détruire des données, les modifier ou encore servir de relais pour réaliser d’autres infractions, prévient Solange Ghernaouti-Hélie. Il peut également être mis en réseau avec d’autres pour réaliser des attaques groupées permettant, entre autres, de bloquer le site d’une entreprise ou toutes ses communications informatiques avec l’extérieur.»
Qu’est-ce que l’entreprise doit protéger en priorité?
Ses valeurs critiques, ses outils de production et les actifs qu’elle juge importants, répond la spécialiste de l’UNIL. «Encore faut-il savoir les identifier. En matière de données, il faut se demander de quelles ressources, de quelles informations l’entreprise ne peut absolument pas se passer pendant une certaine période, et les protéger en conséquence. Par exemple en les mettant dans des coffres-forts de données, installés dans des endroits spécialement protégés.»
Cela dit, du point de vue technologique, la protection des systèmes informatiques est relativement bien maîtrisée par les organisations, notamment par les banques, rassure Solange Ghernaouti-Hélie.
Quelle forme pourrait prendre un éventuel terrorisme informatique?
«On peut tout imaginer…», répond Solange Ghernaouti-Hélie. Si une personne ou un groupe externe à une grande société, pilier de l’économie suisse, réussissait à en bloquer complètement le fonctionnement par des attaques informatiques, cela pourrait déstabiliser le pays.
«Pensez aux impacts négatifs, directs et indirects, qui seraient consécutifs à un blocage inopportun de la Loterie Romande, ou à la divulgation de fichiers clients d’une banque, par exemple, ajoute la spécialiste de l’UNIL. La prise en otage de l’informatique d’une organisation pour exercer un chantage et menacer de stopper toutes les activités ou divulguer des données confidentielles est monnaie courante en terrorisme informatique et économique.»
Les procédures de chiffrement sophistiquées utilisées par les entreprises les mettent-elles à l’abri?
«Certaines, oui. Mais qu’il s’agisse de logiciels, de clés de chiffrement ou de signatures électroniques, l’entreprise qui les utilise reste dépendante de la société qui a fourni la solution de sécurité: et celui qui peut chiffrer peut déchiffrer», rappelle Solange Ghernaouti-Hélie.
Des entreprises suisses, comme ID-Quantique à Genève, sont à la pointe de la technologie en matière de fabrication de systèmes empêchant l’écoute de l’information transférée, et donc l’espionnage économique. «ID-Quantique propose également des moyens pour construire des clés de chiffrement inviolables, via l’usage de la fabrication «quantique», ajoute l’experte lausannoise. L’Etat de Genève a fait appel à ses services pour sécuriser, avec un niveau de sécurité jamais atteint jusqu’à présent, l’application de votes électroniques. Ceci constitue une évolution majeure dans la qualité de la sécurité proposée aux internautes.»
Les Chinois sont-ils plus menaçants que d’autres?
«Pas forcément, à moins qu’ils ne soient plus motivés ou déterminés que d’autres, répond Solange Ghernaouti-Hélie. N’oublions pas qu’ils possèdent des compétences indéniables en matière de chiffrement, mais aussi que la plupart des solutions de sécurité sont encore fournies majoritairement par des sociétés américaines.»
La gestion des noms de domaines est aussi fortement concentrée aux Etats-Unis, de même que l’infrastructure, les grands moteurs de recherche ou les prinpaux systèmes de messagerie, à l’image de Google, Cisco, etc. «On peut théoriquement intercepter et lire tout ce qui est chiffré (à moins que cela soit fait par de la cryptographie quantique), poursuit la chercheuse de l’UNIL. On peut éventuellement craindre les Chinois, puisque de nombreux logiciels sont désormais fabriqués en Asie. Une petite partie du programme pourrait être utilisée pour provoquer une action portant atteinte à la sécurité des ressources…»
Mais en matière de sécurité informatique, mieux vaut se rappeler qu’a priori nous ignorons qui est intéressé par les ressources et informations que nous détenons et pourquoi. «On ne peut imager toutes les fraudes ou malveillances possibles, précise Solange Ghernaouti-Hélie. D’où l’intérêt de diminuer les vulnérabilités, de ne pas exposer les ressources et de mettre en place des démarches pour maîtriser les risques informatiques et la sécurité.»
Geneviève Brunet
A lire:
«Guide de la cybercriminalité pour les pays en éveloppement», Solange Ghernaouti-Hélie, UIT, 2006.
«Internet», Arnaud Dufour, Solange Ghernaouti-Hélie, PUF, Coll. «Que sais-je?», 2005.
«Internet et sécurité», Solange Ghernaouti-Hélie, PUF, coll. «Que sais-je?», 2002.