Pour la 1ère fois, le cabinet spécialisé dans la sécurité informatique ITrust a réuni à Toulouse une trentaine de décideurs informatiques et de responsables de la sécurité des systèmes d’information (RSSI), pour dresser un panorama de la cybercriminalité. Etat des lieux.

Jean-Nicolas Piotrowski, Directeur et CEO d'ITrust

Le premier constat délivré par le cabinet ITrust est lié à un changement de registre : la cybercriminalité n’est plus un sport pratiqué par quelques poignées de « hackers » particulièrement doués, mais une activité commerciale, qui a désormais « pignon sur Web ». Un seul chiffre suffit pour donner la mesure de ce changement : les numéros des cartes bancaires sont désormais capturés en si grand nombre qu’ils sont proposés sur les forums Internet à des prix variant de 15 à 20 euros. La fraude sur Internet s’est, comme on pouvait s’y attendre, fortement professionnalisée. Elle s’engouffre notamment à bon escient dans les failles et les distorsions des différentes législations des différents pays de l’Union Européenne et de l’ensemble du Vieux Continent. Le risque pourrait encore paraître éloigné si une récente étude de l’UE n’avait pas indiqué que la région Midi-Pyrénées était en proportion la 4ème cible en Europe des attaques cybercriminelles, la plus touchée de toutes étant logiquement la région de Bruxelles, siège du parlement européen. Dans ce cas comme dans tous les autres, l’analyse du cabinet ITrust est que les organismes publics ou les entreprises privées ont trop souvent le sentiment d’être protégés par le simple fait qu’ils ont acheté des outils de sécurité (tels que les firewalls, les antivirus, les antispams, les réseaux VPN, etc.). Dans la mesure où les usages ne changent pas, l’expérience démontre que les failles de sécurité restent béantes. Pire, les utilisateurs peuvent avoir l’impression que l’acquisition incessante d’outils de sécurité leur garantit une protection infaillible.

Attention aux mots de passe !

D’une manière générale, quel que soient les qualités du système de sécurisation, le premier « talon d’Achille » reste le mot de passe (voir la Minute Sécurité de cette édition). L’exemple le plus récent et le plus médiatisé est celui de ce (gentil) hacker français qui a réussi à se faire passer pour un administrateur de Twitter. En l’occurrence, les spécialistes d’ITrust ont rappelé que la performance était moins liée à une prouesse technique qu’à un travail de déduction. Concrètement, l’administrateur en question avait choisit un mot de passe trop simple (comme le nom de son chien), facilement trouvable sur les réseaux sociaux. A l’inverse, dans les entreprises où l’on exige des mots de passe très complexes, ou qui doivent être renouvelés très souvent, les consultants constatent que le « sésame » est fréquemment laissé sur un Post-It, à proximité du PC. Une autre tendance forte mise en avant lors de cette matinée d’information, qui a eu lieu le 30 mars dernier au Stade Toulousain, concernant les réseaux sociaux. En France, 40% des DRH des grandes entreprises consultent désormais le profil des candidats avant de confirmer leur décision. Or, les messages et les images susceptibles de « polluer » ces profils sont désormais très fréquents, notamment du fait d’une gestion trop « légère » des mots de passe. Va-t-on voir naître le métier de « nettoyeur de réseau social » ? A suivre.

Pascal Boiron, Midenews