Chronique – Frédéric COURTET – Responsable Commercial – ADEO INFORMATIQUE
Quelle facilité d’infiltrer un ordinateur personnel ou un réseau d’entreprise? C’est à la portée d’hackers amateurs. Les tutoriels sont disponibles et nombreux sur internet !
Il y a quelques jours, je rencontrais un client qui m’assurait avoir mis en place une protection très renforcée de son système informatique. Il me cita les différentes parades mises en place avec des produits réputés sur le marché de la sécurité : Firewall, Antivirus, Antispam… et m’assura que sa solution était extrêmement forte et résistante. Je lui ai présenté notre offre d’audit sécurité permettant de valider ses certitudes. Il me dit « pourquoi pas, mais vous allez perdre votre temps ». J’ai pu lui garantir que nous pourrions accéder à ses serveurs et obtenir les identifiants et mots de passe de l’administrateur du réseau. En cas d’insuccès, nous ne facturerions pas cette prestation !
Échangeant également, avec lui sur notre offre de développement de site internet, nous avons regardé ensemble le site présentant sa société mis en place il y a quelques années. Je lui fis part qu’une mise à niveau était à étudier pour notamment faciliter l’accès aux utilisateurs de tablettes et smartphones.
En revenant de ce RDV, j’échangeais avec Vincent , notre spécialiste sécurité, à qui je communiquai l’adresse url du site internet de ce client.
En quelques minutes, avec cette seule information, en l’observant, ses actions m’ont fait peur tellement c’était simple.
Il a pianoté sur quelques touches, fait un peu de reconnaissance… Avec une aisance déconcertante, Vincent découvrait de nombreuses failles dans le système du client. Il accédait à de nombreux éléments visibles depuis internet, des versions de logiciels obsolètes offrant de nombreuses failles de sécurité et pour lesquelles les modes d’emploi d’attaque se retrouvaient sur internet et accessibles via une simple interrogation sur Google ;
«Je pourrais obtenir un accès à tout. Je n’en reviens pas ! J’arrive même à accéder aux caméras de vidéosurveillance ou aux webcams des portables», me raconte-t-il, les yeux brillants.
Heureusement, Vincent est du bon côté de la Force et il n’alla pas au-delà dans l’attente d’un accord du client.
«Je pourrais obtenir un accès à tout. Je n’en reviens pas ! “
Avec d’anciens étudiants, il fait partie d’un club de sécurité informatique fondé au sein de l’Université où il a étudié. Un club «éthique», précisons. Leur objectif n’est pas de s’introduire dans les systèmes pour y commettre des actes malveillants. Quand ils «infiltrent» des réseaux, c’est dans un cadre contrôlé et légal.
N’empêche que ces passionnés d’informatique testent pour de vrai, le modus operandi des hackers et autres pirates du Web. «Les kits-logiciels de piratage sont facilement disponibles sur Internet. La plupart sont gratuits et simplement accessibles», raconte-t-il. «Nous étudions les outils utilisés par les hackers. On essaie de voir comment on peut trouver les parades».
Le club recrute ses membres parmi les étudiants en programmation et en cybersécurité de son Université. Ces jeunes informaticiens organisent des forums et des compétitions de piratage. « Les participants sont très recherchés par les employeurs en cybersécurité », explique – t-il.
«Quand les dirigeants d’entreprise pensent à une cyberattaque, ils s’imaginent que leur entreprise n’est pas assez importante pour intéresser les pirates. Et la plupart du temps, les utilisateurs ne se rendent pas compte que quelqu’un accède à leur information personnelle. Ils ne réalisent pas les dommages potentiels sur le plan financier, personnel ou professionnel. »
Par exemple, une attaque de type “Man in the middle” pourrait survenir dans ce petit café ou ce Fast Food très connu près de chez vous où vous avez vos habitudes et qui met à disposition un accès Wifi…
Dans ce type d’attaque, le pirate s’installe avec son ordinateur malveillant à proximité. Il crée alors un duplicata du réseau Wifi et attend que des clients insouciants viennent s’y connecter.
Si vous mordez à l’hameçon — et croyez-moi, c’est très facile d’y mordre ! — le pirate peut intercepter tout ce que vous écrivez sur votre ordinateur. Y compris vos mots de passe ! Et il n’est pas obligé d’être là. « Il peut capturer pendant des heures, à partir d’un dispositif caché dans un coin » raconte Vincent.
Oui, tout ça fait peur. Un hacker peut infiltrer votre ordinateur à la maison, au bureau, près d’un restaurant en se postant dans la rue !
Alors que faire pour se protéger contre les pirates informatiques ? Essentiellement, leur compliquer la tâche le plus possible. En changeant ses mots de passe, En mettant en place les équipements appropriés, en faisant ses mises à jour et surtout en formant les utilisateurs aux bonnes pratiques…
Comme disait Alphonse Karr (Une vérité par semaine -1852) « Qui veut vaincre s’attaque au maillon le plus faible. », les pirates s’attaquent aux points les plus faibles : les utilisateurs.
Pour aller plus loin sur cette réflexion :
Voir nos fiches pratiques :