Hacker CC/The Preiser project
Hacker CC/The Preiser project © / The Preiser Project

Les cyberattaques se multiplient, 25 000 sites français auraient été hackés en moins de deux semaines. L'occasion de découvrir que la sécurité de nombreux sites est défaillante. Pourtant, c ertaines entreprises forment leurs salariés à la protection des réseaux informatiques. Mais le hacking est aussi un business. Certains louent leurs services au plus offrant.

Les hostilités ont été ouvertes par les Anonymous. Ce groupe de hackers s'est lancé dans une « opération charlie », après les attentats contre Charlie hebdo. Ils l’ont annoncé dans une vidéo à la musique inquiétante.

Le groupe a publié le 9 janvier une liste de comptes twitter et de sites de propagande djihadiste à neutraliser, sous le hashtag #opCharlieHebdo. La réponse des cyberjihadistes ne s’est pas fait attendre, avec une #opfrance. Plusieurs sites français ont été pris pour cible : des mairies, des centres hospitaliers, mais aussi des entreprises…. Le ministère de l'Intérieur a avancé le chiffre de 25 000 attaques en moins de 2 semaines, et 1 300 attaques revendiquées par des organisations islamistes.

Une guerre médiatique avant tout

Les hackers ne pénètrent pas à l'intérieur du système informatique pour dérober des données précieuses, ou espionner. Pour l'instant, les actions menées consistent plutôt à prendre le contrôle d’une page d’accueil pour poster un message de revendication, c'est le défacement d'une page, ou à rendre le site inaccessible en le surchargeant de plusieurs centaines de demandes de connexion au même moment, ce qui s'appelle une attaque par déni de service (DDoS)…. Cette intervention intempestive ne cause pas de gros dégât, excepté en terme d'image. On pense aussi au journal Le Monde, visé par des hackers qui se revendiquent de l’armée électronique syrienne. Ils ont pris le contrôle du compte twitter du journal cette semaine, pour quelques heures.

Apprendre à se protéger sur internet

Les derniers événements ont mis au jour l'existence de failles de sécurités importantes sur de nombreux sites. Alors les entreprises forment de plus en plus leurs salariés à se protéger en ligne.

Dans le jargon, on appelle cette branche la SSI, la sécurité des systèmes d’information. C’est indispensable pour protéger son site internet, empêcher des virus de s’introduire ou bien des personnes malveillantes de voler des données. Boris Motylewski donne des cours de SSi à des salariés. Il estime qu'il faut protéger ses données comme on organiserait une défense militaire : en multipliant les outils de protection.

Boris Motylewski, consultant en SSI, formateur Orsys

Il n'y a pas un pare-feu miracle à installer entre son réseau d'entreprise et le reste du monde, qui règlerait tout le problème.

La technique qu'applique le formateur porte un nom, la défense en profondeur, un terme emprunté au lexique militaire. Elle consiste en adoptant plusieurs routines de protection : crypter les données, configurer un intranet, mettre à jour ses logiciels, son navigateur internet, restreindre l’accès des données précieuses aux seuls administrateurs du site, etc. Il regrette toutefois que la sécurité informatique ait souvent un train de retard par rapport aux menaces. Sur internet, les méthodes d’intrusion évoluent très vite. Une évidence pour les élèves de Boris Motylewski, venus se mettre à jour, comme Philippe Cougnaud, qui travaille au ministère de la Défense.

Aujourd'hui, un ordinateur connecté à un réseau ne peut pas être à 100 % invulnérable. Il faut suivre l'évolution des technologies pour se mettre au goût du jour par rapport aux nouvelles menaces.

La force des mauvaises habitudes

Dans les entreprises, de nombreuses défaillances de sécurité sont liées à la "contrainte d'acceptation par l'utilisateur", c'est-à-dire les petites négligences, comme brancher une clé usb potentiellement infectée de virus, utiliser le même mot de passe pour tous ses comptes en ligne, ou pire, copier tous les mots de passe de ses différents comptes sur une note sur le bureau de son ordinateur.

Boris Motylewski

J'ai déjà vu des fichiers password.txt sur un ordinateur portable ! Et puis il y a surtout le syndrome du post-it collé sur l'écran.

Des solutions permettent de ne pas avoir à mémoriser quinze mots de passe différents, chacuns composés de douze caractères. Par exemple, il existe des applications « coffre-forts » dans lesquelles il est possible de ranger ses mots de passe en toute sécurité, comme Dashlane, 1password ou KeePass.

Il faut aussi vérifier la force de son mot de passe pour vérifier qu'il est suffisamment robuste. Petit rappel : un bon mot de passe comprend 10 caractères minimum.

► ► ► Aller plus loin

Devant la recrudescence des attaques, le site de l'ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’information).vient de sortir deux fiches récapitulatives sur les bonnes pratiques à avoir sur internet.

Plus de détails sur ce guide de l'hygiène informatique publié par l'ANSSI fin 2013.

Le piratage informatique, c’est aussi un business

capture d'écran du site www.hackerslist.com
capture d'écran du site www.hackerslist.com © Radio France

Le piratage informatique est un business. Besoin d’un petit coup de main sur Internet ? Il y a un hacker pour vous aider. C’est ce que propose un site américain, Hacker’s List, sur le modèle du site de petites annonces Craig’s List. Le slogan du site : "trouver le bon hacker".

Ceux qui ont perdu leur mot de passe, ou veulent effacer une photo gênante, peuvent, moyennant finance, embaucher un génie de l’informatique qui s’en charge pour eux, sur www.hackerslist.com

Il faut compter quelques dizaines de dollars pour un mot de passe facebook, et le prix peut monter jusqu’à plusieurs milliers de billets verts pour les actions plus compliquées, comme récupérer une base de données sur un serveur.

Est-ce légal ?

A la lecture des demandes postées sur le site, la légalité de certaines pose question.

hacker's List, les enchères
hacker's List, les enchères © Radio France

On trouve des étudiants qui veulent modifier leurs notes, des amoureux éconduits qui veulent espionner le compte de leur ex, un chef d’entreprise qui veut obtenir la liste des clients d’un concurrent, etc.

Le site se défend d’activités illégales, puisqu’il n’est que l’hébergeur, et que ses conditions générales d’utilisation interdisent le recours aux services du site à « des fins illégales ». Mais toutes les transactions se faisant sous couvert d’anonymat, impossible de savoir ce qu’il en est.

L'espionnage numérique, un métier comme un autre ? Sur les réseaux sociaux, les internautes réagissent aussi avec humour.

D’après le New York Times, en trois mois d’existence, le site aurait déjà 500 hackings à son actif.

L'équipe
Suivre l'émission
Nous contacter
Ce contenu n'est pas ouvert aux commentaires.