Des hackers sous contrat

Stephan Rickauer et son équipe traquent les failles de sécurité chez Swisscom, dans les réseaux, les prestations et les applications. Ces collaborateurs du service de sécurité informatique travaillent de façon non conventionnelle: ils procèdent comme des cybercriminels.

Texte: Felix Raymann , Images: Markus Lamprecht , 23 août 2016 7 Min.

«Les contrôles de sécurité que mènent habituellement les entreprises assurent, il est vrai, une bonne protection contre les attaques informatiques, mais toutes les fuites ne peuvent pas être corrigées de façon préventive», souligne Stephan Rickauer, IT Security Analyst chez Swisscom. Raison pour laquelle l’équipe spéciale Red Team a été créée au sein du CSIRT (Computer Security Incident Response Team).

Faire sauter les dispositifs de sécurité de ses collègues fait également partie des tâches de Stephan Rickauer.

Course contre les cybercriminels

L’objectif est de prévenir les cyberattaques et d’identifier les fuites avant que quelqu’un de malintentionné ne le fasse. «Le Red Team de Swisscom est une unité spéciale qui n’existe dans aucune autre entreprise suisse», ajoute Stephan Rickauer. «L’idée est simple: on dit que les criminels ont toujours une longueur d’avance, alors mettons-nous à leur place et apprenons à penser comme eux!»

Le montant des gratifications s’élève de 150 francs, pour les petits points faibles du système, jusqu’à 10 000 francs, pour des fuites importantes.»

Lorenz Inglin, Head of Swisscom CSIRT

Les pirates de Swisscom travaillent, certes, comme des cybercriminels, mais uniquement sur l’infrastructure Swisscom. Ils doivent en outre documenter chaque étape de leur travail. Tenus de se conformer à un code d’éthique très strict, les membres du Red Team s’engagent à ne pas commettre volontairement d’actions destructrices et à ne pas pirater de données clients.

Bug Bounty: des gratifications pour pirates

Outre ces «pirates maison», Swisscom charge également des personnes externes de rechercher des faiblesses dans son système informatique. Dans le cadre du programme Bug Bounty, les gratifications venant récompenser la découverte de failles dans la sécurité des produits Swisscom font l’objet d’appels d’offres publics. «Le montant des gratifications s’élève de 150 francs, pour les petits points faibles du système, à 10 000 francs, pour des fuites importantes », précise Lorenz Inglin, Head of Swisscom CSIRT.

Swisscom est également l’une des premières entreprises suisses qui mise sur cette stratégie originale. Les géants Google, Microsoft et Facebook ont déjà mis en place des programmes similaires. Et chez Mozilla, on avait opté pour un programme Bug Bounty dès 2004. Depuis, plusieurs sociétés spécialisées dans le placement de ce genre de «pirates éthiques» ont vu le jour, notamment HackerOne. Ce sont un peu comme des agences de l’emploi pour «bons hackers».

«Nous sommes les "pompiers du numérique" et nous intervenons en cas d’urgence. Nous connaissons des moments de paix et des périodes de guerre.»

Stephan Rickauer, IT Security Analyst chez Swisscom

Swisscom a mis en place son propre programme Bug Bounty.

Laptops infestés, attaques massives d’entreprises

Les résultats des attaques menées sont remis au CSIRT, qui engage les mesures nécessaires afin de corriger les points faibles du système. «Nous sommes un peu comme les "pompiers du numérique" et intervenons, par exemple, lorsqu’un hacker malintentionné dégrade le site Internet d’une entreprise cliente ou quand des ordinateurs sont victimes de logiciels malveillants, ou encore quand des notebooks Swisscom se retrouvent malencontreusement dans le container à ordures», raconte Stephan Rickauer.

Globalement, la tâche du CSIRT est de protéger l’infrastructure de Swisscom, notamment contre le phishing. Cela inclut aussi la mise en place de dispositifs de sécurité, dans le cas par exemple où le routeur d’un client privé est manipulé ou bien quand des cybercriminels font du chantage à une banque cliente de Swisscom.

Guerre et paix

Le travail de l’équipe en charge de la sécurité dépend fortement des cas en cours, appelés «incidents». Stephan Rickauer rapporte qu’il faut parfois examiner un disque dur confisqué ou prévenir une attaque durant la nuit. «Nous connaissons des moments de paix et des périodes de guerre, comme nous disons. En période de guerre, nous laissons tout en plan pour nous occuper de l’urgence. Lorsque la paix règne, chacun travaille à ses projets.»

5 dangers qui n'ont l'air de rien

Stephan Rickauer cite cinq fausses croyances très répandues parmi les utilisateurs:

1. «Les tests et quizz sur Facebook ne présentent aucun danger»:

À priori, les jeux rigolos demandant la participation de l’utilisateur sont de simples divertissements proposés sur les médias sociaux. En réalité, ils permettent de récolter des données précieuses sur les utilisateurs, qui peuvent être utilisées pour de la publicité ciblée, mais surtout pour des opérations de phishing. Beaucoup de données personnelles étant saisies via ces tests, leurs auteurs obtiennent quantité d’informations pertinentes ainsi qu’un accès aux listes d’amis.

2. «Mes données n’intéressent personne»:

Les utilisateurs qui ne se préoccupent pas de la protection de leurs données clament volontiers qu’ils n’ont «rien à cacher». Ils oublient en cela que les pirates ne s’intéressent pas uniquement aux données. Pour eux, il s’agit en premier lieu d’obtenir une couverture, et finalement des sous. Grâce à des mots de passe volés, on peut usurper l’identité d’utilisateurs et se servir de leur ordinateur pour lancer des attaques ou envoyer des spams.

3. «C’est compliqué d’avoir des mots de passe sûrs»:

Au lieu d’avoir un seul mot de passe pour tout ou des mots de passe trop simples, il faut en choisir des très variés et utiliser les codes les plus complexes possibles. Mais qui peut retenir des douzaines de mots de passe compliqués? C’est là qu’un gestionnaire de mots de passe est utile: il enregistre tous les logins et génère des mots de passe sûrs. Il assure également une synchronisation cryptée sur plusieurs appareils.

4. «Le phishing se repère facilement dans les mails»:

Tous les mails d’esrocs ne sont pas rédigés en mauvais français ou dans un anglais approximatif et plein de fautes d’orthographe. Il faut se méfier des mails contenant une incitation ou une menace, ou encore qui exhortent à réagir rapidement. Les services professionnels ne demandent jamais de données personnelles. Attention: les annexes en format pdf, Word ou Excel peuvent contenir des logiciels malveillants. N’ouvrez que les pièces jointes provenant de personnes que vous connaissez ou, même si l’expéditeur est connu, renseignez-vous.

5. «Les ordinateurs Apple sont plus sûrs»:

Les personnes qui travaillent sur Mac aussi devraient se soucier de la sécurité de leur ordinateur. Le système d’exploitation Apple a gagné énormément de terrain, et il intéresse donc de plus en plus les pirates.