La professionnalisation des hackers

Les entreprises doivent faire face à des menaces grandissantes sur leur système. Entretien avec Pascal Junod, professeur de sécurité informatique.

Le piratage informatique se répand comme une traînée de poudre. Les entreprises doivent chaque jour trouver de nouveaux moyens pour se protéger. Retour sur les évolutions dans les domaines du hacking et de la sécurité avec Pascal Junod, professeur de sécurité informatique à l’HEIG-VD à Yverdon et chercheur dans le domaine de la cryptographie.

Pascal Junod, les besoins en sécurité informatique sont-ils plus importants aujourd’hui qu’hier?

En fait, il y a trente ans, l’utilisation des ordinateurs et des réseaux informatiques étaient réservée à une poignée de spécialistes, qui travaillaient principalement dans des institutions comme le CERN ou la NASA. A l’époque, les besoins en sécurité étaient donc relativement faibles. Mais dès qu’internet est arrivé et que les ordinateurs se sont démocratisés, les problèmes de sécurité ont explosé.

Qu’est-ce qui explique cette situation?

Je crois que les hackers d’aujourd’hui ne sont plus les mêmes qu’hier. Avant, il s’agissait surtout de passionnés qui œuvraient pour la performance technique. Désormais, la plupart sont des «professionnels» qui ne cherchent qu’à maximiser leurs revenus. Ils sont organisés en réseaux et sont très spécialisés. Il y a ceux qui cherchent les failles, ceux qui fabriquent les virus, etc.

Concrètement, quelles sont les menaces auxquelles doivent faire face les entreprises?

Le spectre des menaces qui pèse sur les entreprises est très large. Il y a d’abord le vol de données. Les numéros de cartes de crédit sont par exemple vendus par milliers avec l’espoir pour les acheteurs que certains ne seront pas encore bloquées. L’espionnage économique ou des Etats est aussi très répandus. Un Etat peut en effet avoir intérêt à récupérer les données de certains contribuables ou à des fins politiques. L’attaque dont a été victime le ministère des finances français il y a peu est probablement le fait d’un Etat. Enfin, et cela touche non seulement les entreprises mais aussi les particuliers, un pirate peut avoir intérêt à créer un botnet.

De quoi s’agit-il?

Il s’agit d’un ensemble d’ordinateurs infectés par des virus informatiques ou par des chevaux de Troie, qui sont contrôlés via internet à des fins malveillantes. Les pirates louent ensuite leur botnet pour envoyer des spams, pour rendre un pirate anonyme, pour propager d’autres virus. Les botnets peuvent aussi servir à paralyser les services web d’une entreprise concurrente en les bombardant avec des milliers de requêtes.

Comment les entreprises peuvent-elles se protéger de ces menaces?

D’abord il est important de bien comprendre que la sécurité à 100% n’existe pas. L’objectif pour l’entreprise est de décourager économiquement le pirate. Pour cela, l’entreprise doit à la fois prendre des mesures techniques en sécurisant les réseaux et l’infrastructure informatique, mais également des mesures organisationnelles.

Vous voulez dire que les personnes travaillant pour l’entreprise sont des menaces?

Le plus gros problème est clairement le facteur humain. Il faut savoir que dans la majorité des cas d’espionnage économique, les problèmes proviennent de l’intérieur de l’entreprise. Il suffit d’une personne malhonnête ou peu sensibilisée aux risques informatiques. Je crois qu’il faut avant tout former les employés. Une démonstration est souvent ce qui est le plus probant. Et puis, plus les processus sont clairs dans l’entreprise, moins la sécurité sera menacée. Mais au final, même dans les entreprises où la sécurité est assez poussée, les problèmes peuvent provenir du plus haut niveau hiérarchique, car le directeur a souvent de nombreuses données sensibles sur son ordinateur portable.

Comment expliquez-vous la présence d’autant d’entreprises dédiées à la sécurité informatique en Suisse romande?

Les formations dans ce domaine sont très nombreuses et de très bonne qualité dans notre région. Par ailleurs, la montée en puissance des problèmes liés à la sécurité informatique a fait naître de nouvelles opportunités pour des entreprises œuvrant dans ce domaine. Une entreprise comme Sysmosoft, issue de l’HEIG-VD, a ainsi pu voir le jour au bénéfice d’entreprises souhaitant permettre à leurs employés d’utiliser leur téléphone portable de manière sécurisée dans le cadre professionnel.

Sur le même sujet