Qui n’a jamais reçu un mail l’informant être l’heureux gagnant d’une loterie ? En répondant à ce type de mail, nous ouvrons malheureusement la porte à la communication d’infos personnelles et souvent confidentielles, que des pirates informatiques se réapproprient en notre nom pour vendre des produits illicites, ouvrir un compte en banque, venir en France avec notre identité, etc. Bien que 94% de nos mails soient filtrés par des antispams, cette usurpation d’identité est très fréquente et montre bien que naturellement, les produits et services informatiques ne sont pas sûrs. Pour pallier cela, bon nombre d’entreprises installent voire renforcent leur sécurité informatique.
Le terme « cybersécurité », entendez par là sécurité sur Internet, comprend de nouveaux mécanismes de sécurité, actions et pratiques installés pour protéger biens et citoyens du piratage informatique. Un néologisme qui regroupe de nombreux concepts : virus, malware, cheval de Troie, machines zombies ou Botnet (ou RobotNetwork), ransomware (logiciel pas sympa qui prend en otage votre ordinateur),… Pour mieux s’en protéger, il est important de comprendre comment ils peuvent agir.
Sensibiliser les futurs citoyens
Si les internautes sont de plus en plus méfiants, les piratages sont de plus en plus nombreux et prennent des formes nouvelles. En effet, 6000 hackers dans le monde recherchent en permanence des vulnérabilités, et ceux-ci regorgent de créativité, pour preuve le site de l’ANSSI qui recense les vulnérabilités découvertes chaque jour.
Mais les virus à Nancy, c’est l’affaire du Laboratoire de Haute Sécurité du centre Inria Nancy – Grand Est, de son directeur technique Bertrand Wallrich et de son équipe, qui les traquent pour mieux les étudier et les contrer. Pour ce faire, ceux-ci sont étudiés comme des virus biologiques car ils ont les mêmes caractéristiques (ils s’exécutent indépendamment de l’utilisateur, se reproduisent et contaminent d’autres ordinateurs/serveurs, etc) et les mêmes objectifs (survivre et se reproduire).
C’est ce qu’est venu expliquer Bertrand Wallrich le 1er décembre dernier devant une cinquantaine de lycéens du lycée Chopin de Nancy, encadrés par quelques enseignants. Cette année en classe de seconde, ils suivent tou-te-s l’enseignement d’exploration MPS (Méthodes et Pratiques Scientifiques), autour d’une thématique qui porte sur les méthodes et pratiques de la police scientifique. 2 heures hebdomadaires y sont dédiées, et l’intervention autour de la sécurité informatique et de la cybercriminalité est venue compléter leur enseignement.
Deux heures durant, les élèves sont restés captivés par les nombreuses illustrations citées par Bertrand Wallrich :
- Des attaques de système informatique par des machines zombies qui ont eu l’effet de saturer un site de commande de pizzas (DDos);
- le ministère de l’économie et des finances qui en mars 2011 s’est fait infecter 150 ordinateurs par un cheval de Troie dissimulé dans un mail;
- la sécurisation des réseaux industriels (scada) qui servent à la distribution d’eau, de gaz ou d’électricité par exemple, connus pour avoir une faible sécurité car pas directement connectés à Internet. Et pourtant certains le sont.
- …
Et des virus malveillants (malware) à la cyber guerre, il n’y a qu’un pas ! Par exemple, Stuxnet, un virus conçu par la NSA, est un « bon » exemple de redistribution des cartes en matière de nouvelle façon de faire la guerre. Qui dit cyber guerre dit aussi cyber espionnage et là aussi, un ver informatique nommé Duqu a permis de rechercher des données et de les envoyer cachées dans une image (stéganographie).
Banales attaques ? Cyber guerre ? Cyber espionnage ? Tout cela dépasse le citoyen lambda. Néanmoins, il est nécessaire d’éduquer les futurs citoyens et sensibiliser les citoyens que nous sommes aux risques que l’on est tou-te-s en mesure de maîtriser, et plus globalement de nous responsabiliser vis à vis des outils informatiques.
Nous sommes tous responsables de notre sécurité
Si Mark Zuckerberg, le fondateur de Facebook, estime que « la protection de la vie privée n’est plus la norme », si Dropbox s’autorise à divulguer nos fichiers stockés dans notre Dropbox parce qu’ils pensent que la mesure est appropriée (une sorte de patriot act somme toute…) et si Google Analytics permet de surveiller l’activité d’un site et renvoie des statistiques à son webmaster, permettant ainsi à Google de savoir exactement ce que l’on a regardé comme vidéo sur la plupart des sites de streaming, nous citoyens avons le pouvoir de refuser cette intrusion dans notre vie privée.
Alors, maintenant que nous savons, continuons d’appliquer ces 10 préceptes d’or :
- mettre à jour nos équipements (ordinateurs, tablettes, smartphones) car c’est avant tout une question de sécurité;
- un mail/sms/tweet n’est pas une source de confiance;
- regarder les url dans les navigateurs et vérifier qu’elles sont normales;
- non je n’ai pas gagné à la loterie !;
- je ne clique pas sur les documents attachés tant que la source n’a pas été vérifiée;
- je ne distribue pas d’infos personnelles, ni sur ma famille ou mes proches;
- je n’utilise pas le même mot de passe partout et pour tout;
- je fais des sauvegardes régulières;
- je mets régulièrement à jour mon antivirus !;
- j’essaie de comprendre comment fonctionne l’informatique pour mieux m’y connaître et donc mieux agir !
Et cet effort peut payer car sachez que l’entreprise Zerodium a offert 1 million d’euros à qui pourrait trouver une faille informatique dans iOS 9, le nouveau logiciel qui équipe les Iphone ! (zut, ne cherchez plus, c’est déjà trouvé :-)).