Cyberdangers : chaque employé est un risque potentiel de fuite.
Mission : protéger les gens des cyberdangers.
En 1989, Eddy Willems travaillait pour une compagnie d’assurances. Un « cheval de Troie » a été secrètement installé sur son ordinateur via une disquette, support de stockage populaire pour les données numériques à cette époque. Les criminels ont ainsi pris en otage son ordinateur et demandé une rançon. Willems a imaginé une solution pour éliminer le virus. Les médias se sont rués sur l’affaire et ont publié de nombreux détails sur ce « virus de rançon ». Ce fut le début de sa carrière d’évangéliste de la sécurité…
Tous les employés sont vulnérables à la fraude sur Internet.
En tant qu’évangéliste de la sécurité de la société allemande G DATA Software AG, Eddy Willems donne des conférences aux employeurs, aux employés, aux experts ainsi qu’aux enfants et aux retraités qui peuvent également être victimes de cybercriminels. Son objectif est principalement de les avertir des dangers de la cybercriminalité. Il considère comme son devoir de traduire les termes souvent techniques de la fraude sur Internet pour un large public. Son livre « Cybergevaar » (Cyberdangers), est paru en 2013 et est toujours disponible comme livre électronique. Bientôt, une version mise à jour sera publiée en anglais avec des conseils de leaders d’opinion dans le domaine.
« Ça ne m’arrivera pas. »
En fait, depuis les années nonante, peu de choses ont changé : toutes les nouvelles récentes sur la cybercriminalité existaient déjà à ce moment-là, même si elles étaient de moindre ampleur, dit Willems. « Tout revient. » Le fait est qu’un cyberproblème ou une fraude sur Internet avec un ordinateur est toujours lié aux personnes. L’un n’existe pas sans l’autre. Les gens sont encore fort naïfs sur ce point-là. Les employeurs se font des illusions s’ils pensent que cela ne peut pas leur arriver. Même les plus grands experts en informatique se font prendre au piège…
Deux constatations de Willems.
La première constatation est que les gens finissent toujours par se faire avoir. « Le hameçonnage (phishing) demeure un des plus grands problèmes du monde », déclare Willems. Par cette forme de fraude sur Internet, le malfaiteur essaie d’obtenir des informations sensibles, comme par exemple des mots de passe ou des données de cartes bancaires. Une fausse page Facebook peut ainsi causer de sérieuses fuites de données dans les entreprises.
La deuxième constatation est que le malware ou maliciel (logiciel malveillant) devient de plus en plus sophistiqué. D’après Willems, la responsabilité en revient en partie à des services de sécurité importants tels que l’américaine NSA (National Security Agency), qui développent des logiciels pour surveiller les gens. Les criminels réutilisent les mêmes techniques.
I Love You. WannaCry.
Ce ne sont pas des titres de chansons pop romantiques mais les noms de deux virus notoires. Le virus ILoveYou a frappé pour la première fois en 2000 et provenait des Philippines. C’était la première fois qu’un virus sévissait avec un tel impact au niveau mondial. Il attaquait le système d’exploitation Windows. Les dégâts furent estimés mondialement à 5,5 milliards de dollars.
Le virus WannaCry apparut en 2017. Il infecta plus de 230.000 ordinateurs dans 150 pays. WannaCry a notamment infecté les systèmes informatiques de l’entreprise de télécommunication espagnole Telefónica, ainsi que des parties du National Health Service britannique, de FedEx et de la Deutsche Bahn. WannaCry est ce qu’on appelle un rançongiciel ou logiciel d’extorsion (ransomware), qui encrypte les données stockées sur l’ordinateur. Ensuite, les malfaiteurs réclament une rançon de 300 à 600 dollars pour décrypter les données.
Différence entre maliciel, hameçonnage et piratage.
Maliciel est le nom commun de tous les logiciels malveillants (« malicious » en anglais). Pensez à des virus (qui se propagent), chevaux de Troie (sans que vous ne les remarquiez), espiogiciels (qui vous regardent quand vous tapez un mot de passe par exemple, utilisés dans l’espionnage industriel).
L’hameçonnage consiste à envoyer un courriel qui incite à visiter un site web afin d’obtenir plus d’informations à votre sujet. Cela permet par exemple de s’emparer de vos données bancaires. Le « spear phishing », appelé parfois harponnage, est une variante qui vise plus spécifiquement les mots de passe. Cette une technique est souvent utilisée pour essayer de s’introduire dans les entreprises. Les plus gros piratages mondiaux d’entreprises résultent principalement du spear phishing. Les criminels sont pour ainsi dire de fins psychologues qui posent les bonnes questions afin de se frayer un chemin dans les réseaux.
« Hacking » ou piratage sont les termes qu’on entend le plus dans les médias, mais ils sont souvent confondus avec l’hameçonnage et le maliciel. Les pirates (hackers) veulent prendre le contrôle du système et l’utiliser à des fins particulières : extorsion ou espionnage. Les pirates éthiques sont quant à eux des pirates qui travaillent sur ordre d’un employeur afin de tester et d’améliorer la sécurité. En fait, le pirate fait manuellement ce que fait un maliciel : chercher les trous dans la sécurité afin de pénétrer dans un système et d’en prendre le contrôle.
Quel est le niveau de sécurité des employeurs belges ?
Les employeurs belges ne s’en sortent pas trop mal selon Eddy Willems. « Nous sommes parmi les bons élèves de la classe. » Le fait que nous fassions un bon score est dû à des organisations comme l’OTAN, l’Union Européenne et quelques grandes banques qui disposent d’un bon système de défense. Le problème se situe plus chez les gros employeurs, où les services ne se parlent pas et dont les serveurs, les PC et les réseaux sont dès lors plus vulnérables. D’autre part, la Belgique est un pays de PME, et c’est là aussi son point faible. La cybersécurité est généralement plus mal lotie chez les PME parce que le facteur coût y joue également un rôle. C’est ainsi par exemple que les logiciels antivirus sont souvent mal installés.
Que peuvent faire les employeurs pour leur défense ?
« Chaque employeur doit avoir un logiciel de sécurité, point », affirme Willems. La sécurité que livre un revendeur ou un prestataire de services informatiques n’est quasiment jamais suffisante. Un logiciel antivirus correctement géré constitue la base. En dehors de cela, les fuites posent un grand problème. Willems l’appelle le talon d’Achille des employeurs : par exemple, les mises à jour des logiciels sont installées tardivement. On parle parfois de la règle des 3%. Il faudrait donc, selon ce principe, investir 3% du chiffre d’affaires dans la cybersécurité. Pour Willems, c’est beaucoup trop peu. Selon lui, 5% constitue un minimum. Cette règle est évidemment très générale, concède-t-il. Il est logique qu’une grande banque ou un bureau d’avocats renommé investisse plus que la moyenne dans la cybersécurité. Willems sait par exemple que la fuite des Panama-papers provenait d’un bureau d’avocats.
Notre expert en cybersécurité conclut que tout commence finalement par la prise de conscience : s’informer, tester intensivement les logiciels de sécurité (éventuellement avec l’aide d’un pirate éthique), inviter un expert pour un exposé, etc. Du moment qu’on en parle. Le problème est toutefois que beaucoup de gens pensent en savoir assez. Ils sous-estiment le risque.
La législation belge est assez bonne, mais le problème est complexe.
Selon Willems, notre pays s’en tire plutôt bien côté législation. Celle-ci est comparable à celle des pays voisins. Malheureusement, la fraude sur Internet est un problème international. Mais c’est là que le bât blesse. Collaborer avec les Pays-Bas ou l’Allemagne est un rien plus simple qu’avec, mettons, le Brésil ou l’Inde. Ces pays sont régis par d’autres lois, le pouvoir judiciaire y fonctionne différemment et il faut connaître des gens pour obtenir quoi que ce soit.
Un autre problème connu et dont on parle beaucoup ces derniers temps, c’est le manque de transparence des géants de l’Internet comme Google et Facebook.
Il arrive régulièrement qu’on arrête des gens un peu partout dans le monde, dit Willems. Mais ça met parfois beaucoup de temps, et passe dès lors souvent inaperçu pour les médias. Le scandale du vol de photos de célébrités nues n’était par exemple qu’un simple hameçonnage avec un Apple ID. La personne qui se cachait derrière ce méfait a finalement été arrêtée après 5 ans d’enquête. Il s’agit très souvent d’affaires complexes, où il est malaisé de remonter à la source, preuves à l’appui.
De l’Internet des Objets à l’Internet des Menaces.
Dans un avenir proche, d’innombrables appareils électroménagers, machines et véhicules vont être connectés à l’Internet de sorte qu’ils puissent communiquer entre eux et même prendre des décisions de manière autonome. Cet Internet des Objets (IdO, en anglais Internet of Things ou IoT) est en général insuffisamment protégé. Pour Willems, on doit s’estimer heureux qu’il n’y ait pas encore de standards aujourd’hui. Ainsi, les pirates ne parlent pas encore la langue. Dès que l’IdO sera appliqué à grande échelle, il faudra forcément s’attendre à des problèmes. Car grande échelle est synonyme de gros sous pour les cybercriminels.
Eddy Willems est un spécialiste sécurité de réputation mondiale.
Il est évangéliste de la sécurité de la société allemande G DATA Software AG et siège comme directeur dans diverses organisations du secteur, comme l'European Institute for Computer Antivirus Research (eicar) et amtso (Anti-Malware Testing Standards Organization). Une version actualisée de son ouvrage « Cybergevaar » (cyberdanger) paraîtra prochainement en anglais sous le titre « Cyberdanger ».