Cybersécurité : les pirates informatiques ont-ils désormais toujours un coup d’avance?

ac8e435adffbdbdcc9ec9264624d37c49341f501.jpg
énieur participe au premier Steria Hacking Challenge à Meudon, le 16 mars 2013 (Photo : Thomas Samson)

[03/10/2014 14:28:27] Monaco (AFP) C’est la tendance forte de la 14e édition des Assises de la sécurité à Monaco (1-4 octobre): les pirates informatiques semblent désormais systématiquement avoir un coup d’avance dans la bataille globale de plus en plus complexe de la cybersécurité.

“Jamais dans le monde l’avantage n’a autant été du côté de l’attaque” de la part des pirates, confirme Philippe Duluc, directeur de la sécurité chez Bull.

Pas une semaine ne s’écoule sans qu’un grand groupe ne soit victime d’une faille majeure et les vols de mots de passe se mesurent à présent en centaines de millions.

Pire, selon une étude du cabinet PwC, alors que le nombre d’incidents déclarés a augmenté de 48% dans le monde depuis le début de l’année pour un coût moyen de 2,8 millions de dollars, le budget moyen alloué à la sécurité informatique a diminué dans le même temps de 4%.

“En France, ce sont les organisations de moins de 250 salariés qui sont les plus ciblées parce qu’il est préférable de viser un sous-traitant d’un grand groupe qui sera potentiellement moins protégé et offrira un accès à ce dernier”, souligne Laurent Heslault, directeur des stratégies de sécurité chez Symantec.

Les hackers se sont professionnalisés et regroupés à mesure qu’ils s’enrichissaient, renforçant leur capacité à détourner n’importe quel type d’appareil pouvant leur servir, comme l’a expérimenté un opérateur brésilien qui a vu ses box (d’accès à internet et aux bouquets télévisés) être piratées.

“Les sources les plus fréquentes pour les attaques volumétriques ce sont les +botnets+, des réseaux de machines zombies qui sont utilisées à l’insu de leur propriétaire”, rappelle à l’AFP Marc Berger, directeur général délégué chez NetXP.

Les responsables de la sécurité des systèmes d’information sont pour l’instant démunis à l’heure d’affronter les nouveaux usages: big data, BYOD (usage des appareils mobiles personnels dans l’entreprise), objets connectés et “cloud”.

A Monaco, au lieu de la protection certifiée inviolable d’antan qui détectait immédiatement les menaces, l’accent est d’ailleurs mis sur l’analyse des signaux faibles et inhabituels trouvés dans le serveur ou l’ordinateur, desquels il faut déduire les symptômes éventuels d’une attaque présente ou passée.

Le ton alarmiste destiné à vendre un maximum de solutions aux acheteurs institutionnels et privés a donc cédé la place à un constat: la prévention des incidents s’est transformée en gestion optimale des dégâts.

Même lorsqu’une incursion est détectée, il est extrêmement difficile de la circonscrire, à l’image de “Shellshock”, la faille récemment trouvée dans le programme Bash (un protocole d’accès aux appareils à distance) qui est “lié à environ 50% des sites internet”, selon Loïc Guézo, directeur stratégie de Trend Micro pour l’Europe du sud.

“Une fois le patch de correction disponible, encore faudra-t-il trouver le temps de l’appliquer, et cela concerne 500 millions de machines et pas 500.000 comme dans le cas de Heartbleed (la précédente faille majeure, découverte en mars)”, indique-t-il.

“Dans cette course-poursuite entre hackers et acteurs de la sécurité, les premiers ont clairement un coup d’avance, et malgré tous les investissements réalisés par les clients, ceux-ci sont encore assez fortement vulnérables”, résume Thierry Karsenti, directeur technique Europe de Checkpoint.

Les antivirus classiques, qui constituent encore la seule ligne de défense de nombreuses sociétés, sont depuis longtemps inefficaces face aux attaques par déni de service, face aux “ransomwares” qui font payer pour reprendre le contrôle de son smartphone, aux menaces persistantes avancées (attaques à répétition en général menées par des Etats) et aux attaques ciblées, tendance la plus récente.

“Il faut vraiment avoir des compétences très pointues pour les détecter, dont très peu d’ingénieurs disposent, les formations universitaires permettant de les acquérir étant rares”, souligne Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Mais les hackers s’appuient aussi et surtout sur la naïveté de consommateurs souvent peu au fait des dangers.

La société finlandaise de sécurité informatique F-Secure a récemment mené une enquête sur ce sujet en offrant dans les rues de Londres un accès wi-fi “empoisonné”, bricolé avec des composants coûtant environ 200 euros.

Non seulement les passants se sont fait pirater leurs données sans s’en rendre compte en se connectant automatiquement mais certains n’ont pas le moins du monde pris garde aux conditions générales d’utilisation, stipulant par exemple qu’ils acceptaient de céder l’aîné de leurs enfants en échange du service, et à défaut leur chien ou leur chat…