La sécurité sur internet

«Notre dépendance rend la situation plus critique»


Cyberattaques, vols de données, terrorisme numérique: la sécurité sur internet nous concerne tous. Des spécialistes tels que Stefan Frei de Swisscom passent leur journée au front pour que nous puissions dormir sur nos deux oreilles.


Texte: Hansjörg Honegger, images: Daniel Brühlmann,




Monsieur Frei, on a le sentiment que les dépêches au sujet de menaces sur la sécurité dans internet se multiplient. La situation s’est-elle réellement détériorée?


La technologie se développe à un rythme vertigineux. Sur internet, de nouvelles plateformes se créent presque chaque jour. Il est donc normal que des criminels s’approprient aussi ces nouvelles technologies. La situation n’est pas pire que par le passé, c’est plutôt l’augmentation de notre dépendance face aux services basés sur internet qui rend la situation plus critique.



Vous voulez dire que ce phénomène existait déjà avant l’avènement d’internet?


Bien sûr. Vers 1903, lorsque les autos n’étaient pas encore très répandues, à Paris un groupe de bandits appelé gang de Beaumont s’était spécialisé dans les casses en voiture. Comme la police n’était pas encore motorisée et se déplaçait à vélo ou à cheval, elle n’avait aucune chance de capturer les criminels. A cette époque déjà, les criminels utilisaient les nouvelles technologies pour arriver à leur fin. Il en va de même aujourd’hui avec internet.



«Nous devons décider quel degré de sécurité nous souhaitons et quelles sont les applications qui sont trop dangereuses.»





La police va donc bientôt troquer sa bicyclette contre une voiture dans la lutte contre la cybercriminalité?


Un certain nombre de choses doivent d’abord se mette en place. Nous devons clarifier au niveau politique et social comment nous voulons régler le rapport entre notre besoin de sphère privée et les impératifs de la surveillance. Nous devons décider quel degré de sécurité nous souhaitons et quelles sont les applications qui sont trop dangereuses.




«Il faut absolument prendre des mesures préventives, comme par exemple installer un programme antivirus ou un firewall», souligne Stefan Frei, Security Architect chez Swisscom.



Quel est le profil type du cybercriminel?


Autrefois, des nerds de seize ans paralysaient des centaines de milliers de PC avec leurs virus et se délectaient de leur forfait. Aujourd’hui, nous avons à faire à des cybercriminels hautement professionnels: ils ne veulent en aucun cas qu’on découvre leur logiciel malveillant. Leur but est que ce dernier puisse rester actif aussi longtemps que possible dans le système infecté. Ils veulent rentabiliser leurs investissements.



Des investissements? Mais d’où viennent les fonds?


En Suisse, les programmeurs sont relativement chers. Mais dans les pays de l’ancien bloc de l’Est ou du tiers monde, on trouve d’excellents professionnels pour quelques centaines de dollars. Leurs actes ne sont souvent pas motivés par des intentions criminelles mais par des questions de survie. Il existe bien entendu aussi des domaines de la cybercriminalité qui sont financés ou du moins tolérés par des Etats et qui disposent de ressources financières et humaines considérables.



Cela veut donc dire qu’il existe un véritable marché pour les logiciels malveillants?

Cela veut donc dire qu’il existe un véritable marché pour les logiciels malveillants?

 

Cela veut donc dire qu’il existe un véritable marché pour les logiciels malveillants?

 


Oui, il existe un éventail de services qui va du simple logiciel malveillant pour quelques centaines de dollars à l’abonnement offrant des actualisations régulières et une assistance téléphonique 24 heures sur 24.




«Un cambrioleur laisse des traces. Il est par contre quasiment impossible de dépister un cybercriminel habile.»




Incroyable! Et où peut-on trouver ce genre de services?


Si vous savez utiliser Google, vous n’aurez aucune difficulté à trouver ce genre de prestations.



Mais qu’est-ce qui nous empêche d’interpeller ces criminels?


Il y a une différence avec le monde réel. Un cambrioleur laisse des traces. Il est par contre quasiment impossible de dépister un cybercriminel habile. Et même si on arrive à l’identifier, il arrive parfois que l’Etat d’où il opère tolère ce genre d’activités.



Qui est menacé en premier lieu?


Nous tous. Le type d’attaque dépend toutefois de la cible. Un utilisateur normal est attaqué par un logiciel malveillant qui infecte aussi de nombreux autres dispositifs. Par contre un manager dont la société est sur le point d’être reprise représente une cible lucrative. L’investissement pour une telle attaque peut facilement s’élever à 100'000 dollars, puisque les informations susceptibles d’être obtenues pourront être revendues au prix fort.


«Ce qui est fondamental, c’est de toujours garder son système d’exploitation et ses logiciels à jour.»




Y a-t-il un moyen sûr pour se protéger?


Malheureusement, non. Il faut absolument prendre des mesures préventives, comme par exemple installer un programme antivirus ou un firewall. Ce qui est fondamental, c’est de toujours garder son système d’exploitation et ses logiciels à jour.

 



C’est-à-dire que les fabricants découvrent des lacunes dans leurs logiciel et les comblent au fur et à mesure avec ce qu’ils appellent des «patches».


Exactement. Et c’est bien le cœur du problème: les fabricants de logiciels ne peuvent pas être tenus responsables de ces lacunes.




L’entreprise d’armement Ruag a été la cible d’une cyberattaque en 2015. Les hackers auraient subtilisé près de 20 gigabytes de données.



La plus grave attaque perpétrée à ce jour contre des boutiques en ligne suisses: en mars 2016, des hackers ont notamment paralysé Digitec, Galaxus et Interdiscount.

 


Et pourquoi en est-il ainsi?


Le spécialiste en sécurité de notoriété internationale Dan Geer a dit un jour qu’il existe deux industries exemptes de responsabilité du fait des produits: les religions et les fabricants de logiciels. Les fabricants de voitures par exemple sont tenus responsables des accidents imputés à des défauts de construction. Nous connaissons tous les coûteuses actions de rappels de véhicules de l’industrie automobile. L’industrie des logiciels, par contre, commercialise trop souvent des produits à demi finis. Et ceci pour des raisons purement économiques: celui qui arrive le premier sur le marché avec son produits fait en général de meilleures affaires.


«Il faut aussi se modérer dans le nombre de programmes installés. Cela permet de maintenir la complexité à un niveau plus bas et d’améliorer la sécurité. »




Au détriment de la qualité?


Oui. Le logiciel vendu n’est souvent pas encore terminé. Un «update» n’est rien d’autre que la réparation d’un produit livré avec des défauts. Et les fabricants de logiciels ne peuvent pas être tenus responsables de ces lacunes.



Vous dites que la sécurité absolue n’existe pas. Faut-il en conclure que l’utilisateur privé est impuissant?


Non, pas du tout. Comme je l’ai déjà mentionné, d’un point de vue technique, il faut s’assurer que le système d’exploitation et les logiciels soient toujours à jour et que les programmes de sécurité soient installés. Et bien entendu, il faut aussi agir de manière responsable en réfléchissant avant de cliquer et en évitant d’utiliser son PC pour certaines choses. On peut ainsi notablement augmenter la sécurité. Il faut aussi se modérer dans le nombre de programmes installés. Cela permet de maintenir la complexité à un niveau plus bas et d’améliorer la sécurité.



Et que font les opérateurs de télécommunications pour améliorer la sécurité?


Ils sont très actifs en arrière-plan. Une équipe spéciale de Swisscom surveille de près les zones sombres d’internet. Si nous y découvrons des informations pertinentes pour notre travail, nous devenons tout de suite actifs. Si par exemple nous constatons que du spam est expédié depuis le PC d’un client, nous l’avertissons qu’il a un problème. Nous sommes ainsi en mesure d’informer chaque année de nombreux clients que quelque chose n’est pas en ordre sur leur PC.



Qui est Stefan Frei?

Stefan Frei est Security Architect chez Swisscom et travaille depuis près de 20 ans dans le domaine de la sécurité informatique. Sur mandat de grandes sociétés, il a également œuvré comme «hacker éthique» pour percer à jour les failles des réseaux IT. Stefan Frei est en outre chargé d’enseignement à l’EPFZ en matière de cybersécurité et de sécurité des réseaux.





En savoir plus sur ce thème