Du réel au virtuel, une criminalité exponentielle

Posted on 3 octobre 2015 par

0


dreamstime_s_46453388Les données du site de rencontres extra-conjugales Ashley Madison volées et diffusées sur le net ; le réseau internet estonien paralysé, supposément par la Russie, en représailles au déplacement d’un mémorial de guerre datant de la période soviétique, l’Iran victime en 2009 et 2010 d’un tremblement de terre électronique qui a touché son infrastructure nucléaire et qui selon certains serait l’œuvre conjointe d’Israël et des Etats-Unis, vols de données sensibles, piratage de compte…

Cyberguerres, cyberespionnage, cyberactivisme et cybercrimes à des fins purement lucratives se retrouvent de plus en plus souvent au cœur de l’actualité. Les autorités et les entreprises organisent leur riposte dans un environnement où les cybercriminels auront toujours une longueur d’avance.

Rencontre avec deux experts ès cybercriminalité Georges Ataya et Charlie McMurdie.

Georges Ataya

Directeur d’une formation en gestion de sécurité de l’information depuis 2006 à la Solvay Brussels Shool of Economics and management et directeur d’ICT Control, un cabinet de conseil spécialisé en cybersécurité, Georges Attaya est également vice-président de la Cyber Security coalition créée en 2014 par Proximus, la FEB, le CERT.be, le B-CCENTRE et la Solvay Brussels School.

Il a aussi été vice-président de ISACA.org, une association professionnelle qui regroupe plus de 120 000 personnes et effectue des recherches dans le domaine de la sécurité informatique.

GA Image 3

Qu’est-ce que la cybercriminalité et comment a-t-elle évolué ?

C.M : L’approche légale la définirait comme l’utilisation d’un réseau d’ordinateurs pour faciliter les attaques sur d’autres réseaux d’ordinateurs afin de récolter des données ou empêcher un système de fonctionner. C’est la menace qui croit la plus rapidement et qui est parmi les plus dangereuses pour les entreprises. On constate aussi que le crime organisé, les criminels traditionnels qui agissaient dans le monde réel, intègrent de plus en plus la sphère de la cybercriminalité.

Dans l’enquête « 2015 Information Security Breaches » de PwC, nous avons constaté que le nombre d’atteintes à la sécurité des sociétés, la sévérité des attaques et leur sophistication ont augmenté. 90 % des grandes sociétés (plus de 250 employés) interrogées et 74 % des PME ont admis avoir été victimes de telles attaques en 2014, contre respectivement 81 et 60 % un an auparavant.

Quels sont les moyens le plus souvent utilisés pour lancer une cyber attaque ?

G.A. : Je citerais le vol d’identité et l’obtention des mots de passe ainsi que le fishing. Ce dernier consiste à donner une illusion de message sérieux dont l’exécution de l’action demandée, comme cliquer sur un lien, déclenchera un processus malveillant tel enregistrer tout ce que l’utilisateur écrit sur son ordinateur, par exemple les codes d’accès à ses comptes.

D’un point de vue technique, on distingue l’injection SQL — on intègre dans un ordinateur un ensemble de codes dont le déclenchement exécutera une action malicieuse —, le « defacement », à savoir la modification d’une page web, le « hijacking » de compte, le déni de service distribué (DDOS) — des ordinateurs du monde entier sont hackés et programmés pour attaquer une cible à une date et une heure précise — et enfin les actions consistant à pénétrer dans des sites ou des ordinateurs soit pour obtenir des renseignements sur leur propriétaire, soit pour modifier les informations qu’ils contiennent.

Charlie McMurdie

Charlie McMurdie est Senior Cyber Crime Advisor à Price waterhouse Cooper depuis 2 ans. Auparavant, elle a travaillé pendant 32 ans pour Scotland Yard, où elle a été Detective Superintendent. Au cours de sa carrière, elle a enquêté sur de nombreux cyberincidents, a conseillé le gouvernement et les entreprises en matière de cybersécurité et a créé en 2008, le Police Central e-Crime Unit (PCeU), l’organisme policier britannique spécialisé en matière de cybercrime.

Charlie1

Vous dites que les attaques sont devenues plus sophistiquées

C.M. : Auparavant, une attaque était rapidement identifiée et contrecarrée. Maintenant, la détection des atteintes à la sécurité d’un système peut prendre beaucoup plus de temps. Parfois les criminels peuvent récolter des données, des informations financières par exemple, pendant des mois, voire un an, avant d’être repérés.

Le facteur humain occupe en outre une place croissante. 75 % des grandes sociétés interviewées lors de notre enquête et 31 % des PME ont admis avoir été victimes d’une attaque dans laquelle des membres de leur personnel ont joué un rôle. Ce peut être un employé qui n’a pas respecté les règles de sécurité ou qui, par inadvertance, a compromis certaines informations de l’entreprise, mais il peut s’agir aussi de membres d’une organisation criminelle qui se sont fait engager par la société.

Le développement des technologies nous rend plus vulnérables aux attaques criminelles. Pourquoi ?

G.A. : On est en train de multiplier les portes d’entrée. Avant, on ne disposait que d’un ordinateur. Aujourd’hui, on est connecté au net par une multitude de canaux — laptop, téléphone portable, tablette, internet des objets, cloud… — à une multitude de personnes — collègues, famille, fournisseurs, clients. Ce sont autant de portes ouvertes vers le monde qui nous rendent plus vulnérables.

Comment se protéger ?

G.A : Fermer toutes les portes d’accès n’est pas une solution. Il est important de structurer les méthodes de défense et d’en combiner plusieurs.

Elles ne sont pas nécessairement onéreuses. Par exemple expliquer au personnel de se méfier de messages étranges demandant de cliquer sur un lien ou contrôler les informations auxquelles peut accéder un stagiaire ou un intérimaire dans un cabinet d’avocat peut déjà beaucoup aider. Il faut identifier quelles sont les informations sensibles, où elles se trouvent, et comment les protéger.

C.M : la plupart des attaques sont évitables. Une bonne partie de la solution réside effectivement dans la prévention. Parfois il suffit aussi de simplifier un réseau, sa complexité le rendant vulnérable. Un des défis reste toutefois la chaine d’approvisionnement : les fournisseurs détiennent également des informations sensibles. Comment être sûr qu’elles sont protégées ?

Un autre conseil est de suivre ce qui se passe dans ce domaine, de savoir quelles sont les menaces actuelles, quels types d’attaques ont été perpétrées contre des concurrents…

Quel est le coût de la cybersécurité et des cybercrimes pour les entreprises ?

G.A. : Aujourd’hui, les entreprises sérieuses savent que leur système informatique représente entre 5 et 15 % de leur budget total et la sécurité informatique coûte entre 10 et 20 % de ce budget-là. C’est une estimation vague, car tout dépend du secteur, de la taille de l’entreprise, de son domaine d’activité, de la sensibilité et de l’importance des informations détenues.

Malheureusement, beaucoup de directions générales ne prennent pas ces risques au sérieux, car les techniciens n’arrivent pas à communiquer convenablement avec elles sur le sujet. Elles ont aussi trop tendance à attendre que le problème survienne avant de réagir.

C.M. : Selon l’enquête de PwC, le coût moyen engendré par les cyberattaques, ce qui peut comprendre le manque à gagner dû à la paralysie du système, le coût de sa remise en état ou le préjudice causé à la réputation de l’établissement, varie entre £1.46 et 3.14 millions pour les grandes sociétés et entre £75.000 et 311.000 pour les PME.

Europol dénonce l’industrialisation de cyber services criminels

C.M. : On l’appelle le Darkweb. C’est un cybersupermarché underground. On peut y trouver des spécialistes en tout genre — par exemple en informations gouvernementales classifiées ou dans le trafic de drogue —, des manuels expliquant comment commettre des cybercrimes, faire des bombes ou fabriquer de la drogue ou encore du contenu pédophile. Avec Scotland Yard, nous avions démonté le plus large site de ce genre en Grande-Bretagne. Il avait 8000 membres. Même si d’autres sites ont pris sa place, s’y attaquer nous a permis de récupérer des informations, comme des numéros de carte de banque, et de collecter des renseignements utiles, notamment sur qui vend quoi à qui.

Les Etats, au niveau national et supranational, mettent-ils en place des moyens de lutte efficaces ?

G.A. : La Belgique était fort en retard par rapport à d’autres pays européens comme les Pays-Bas ou le Luxembourg, mais cela pourrait s’améliorer. Le 17 juillet dernier, Charles Michel a finalement annoncé la nomination des directeur et directeur adjoint du Centre pour la Cybersécurité Belgique (CCD). Je suis ravi de voir que cette unité dépend directement du Premier ministre, ce qui permet une approche multisectorielle.

Au niveau européen, la commission européenne a commencé à travailler sur une directive européenne NIS, network information security, pour définir le degré minimum de protection que les Etats doivent mettre en place.

Lire les autres articles de la série:

«On n’a pas l’impression que la lutte contre le blanchiment est prise au sérieux»
Interviews de John Byrne, vice-président de l’ACAMS, qui forme aux Etats-Unis les experts dans la lutte contre le blanchiment, et Jean-Claude Delepière, président de la Cellule belge de traitement des informations financières (Ctif)

«La corruption est une taxe payée par les pauvres»
Rencontre avec le nouveau Président de Transparency International, José Ugaz

«Les paradis fiscaux et l’évasion fiscale sont une forme de corruption»
Le point de vue de John Christensen, directeur de Tax Justice Network.

«Les banquiers ont la mémoire courte»
Interview de Roger McCormick, ancien avocat et fondateur du conduct cost project visant à fournir à la société civile des données quantifiables sur les mauvaises pratiques des banques.

Du réel au virtuel, une criminalité exponentielle
Rencontre avec deux experts ès cybercriminalité Georges Ataya, Vice-président de la Cyber Security coalition Belge, et Charlie McMurdie, Senior Cyber Crime Advisor à Price waterhouse Cooper et ancienne détective de Scotland Yard.

Publicités