lundi 25 février 2013

EADS et Thyssen piratés : pourquoi le hacking a encore de beaux jours devant lui


Selon le magazine allemand Der Spiegel, le géant européen EADS et ThyssenKrupp (sidérurgiste allemand) auraient fait l’objet de cyberattaques en 2012 de la part de pirates informatiques chinois. Tout dans cette histoire, qui n’en est qu’à ses débuts en matière de révélations d’informations, tient du cas d’école classique et confirme ce que beaucoup d’experts en informatique prédisent depuis quelques années maintenant : la cybercriminalité est en plein essor, profitant d’une situation où les cibles sont facilement identifiables et attaquables, avec un succès quasi assuré pour un risque d’être appréhendé et jugé proche de zéro.

Pour être précis, le phénomène majeur qui touche aussi bien des médias (les cyberattaques contre le NYT par exemple) que des entreprises s’apparente à du cyber espionnage. En effet, les cyberattaques ont des caractéristiques très diverses, allant du simple « déphasage » de la page officielle de tel ou tel organisme, en passant par l’espionnage d’un service, pour au final envoyer un virus capable de détruire les infrastructures numériques d’une entreprise (cf le piratage l’été dernier du groupe pétrolier Aramco). Ce dernier cas est rare en vérité, car il suppose des compétences techniques de haut niveau et a un intérêt limité pour l’agresseur qui certes affaiblit son opposant, mais que pour un temps.

En réalité, ce qui se développe dans des proportions assez dangereuses, c’est le cyber espionnage. La démocratisation à l’extrême des NTIC fait que l’ensemble du monde a accès à des outils informatiques, que l’on peut facilement détourner de leur fonction première pour perpétrer des actes illégaux. Arnaques bancaires, paris truqués, menaces avec demandes de rançon sont quelques-unes des nombreuses possibilités qu’offre Internet pour qui a quelques connaissances basiques en informatique. Les Etats n’ayant pas la même célérité pour lutter contre les cybercriminels, certaines zones dans le monde deviennent des sanctuaires pour ces derniers qui peuvent perpétrer leurs méfaits sans être arrêtés. La « défrontiérisation » du cyberespace avancée par certains se voit ici remise en cause profondément avec en toile de fond le rôle trop souvent minoré des Etats.

Le cyber espionnage et l’espionnage ont ceci en commun que leur succès est déterminé par deux facteurs : la quantité et la qualité des informations obtenues dans un premier temps, la capacité à ne pas être découvert, ou au moins le plus tard possible. Des cas de cyber espionnage d’entreprises américaines sur plusieurs années ont ainsi été mis à jour, avec des dégâts aussi bien en termes économiques qu’en termes d’image de marque pour les entreprises touchées. En effet, ces dernières ont généralement tendance à ne pas beaucoup communiquer en cas d’intrusion dans leurs serveurs, car cela révélerait au grand jour leur vulnérabilité. Il est vrai néanmoins que dans une écrasante majorité des cas, la faille de sécurité, voire le cyber espionnage sont découverts de l’extérieur par une entreprise spécialisée en sécurité informatique par exemple.

L’un des enjeux stratégiques de ce siècle étant la quête, l’analyse et la sécurisation de l’information, les entreprises sont invitées à se prémunir d’éventuelles intrusions. Il ne s’agit pas exclusivement de grands groupes industriels œuvrant dans des secteurs d’activité dits sensibles (défense par exemple), mais aussi des PME qui sont des proies faciles pour des pirates informatiques qui opèrent soit pour des concurrents, soit pour des Etats. Même si l’obtention de preuves irréfutables est souvent compliquée, de nombreux indices laissent supposer que les autorités chinoises coordonneraient un grand nombre des cyberattaques qui touchent beaucoup de puissances : Etats-Unis, Allemagne, France… La récente publication d’un rapport de la société américaine Miandant sur une unité de cyberespions chinois tend à confirmer cette analyse.

Dans le cas d’EADS, selon les premiers éléments disponibles, l’attaque n’aurait pas été très sophistiquée et n’aurait surtout pas permis l’accès à des informations sensibles. Pour ThyssenKrupp, il est encore trop tôt pour se prononcer. Les entreprises peuvent se sentir aidées de deux façons plus ou moins efficaces :
-          Par le pouvoir politique qui a tendance à multiplier les discours pour dénoncer ces cyberattaques qui ne sont rien d’autre que de l’espionnage industriel. Toutefois, la réalité montre que ces paroles n’ont guère de poids, la Chine, pays principalement visé, adoptant la même stratégie : nier les faits, souligner que le piratage est puni, et rappeler enfin qu’elle subit également un grand nombre de cyberattaques, comme en attestent des rapports internationaux.
-          Par des entités spécifiques, comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour la France qui apporte son expertise pour réparer les réseaux infectés et donner des conseils de bonne conduite pour une sécurité des réseaux accrue.

Toutefois, le risque 0 n’existe pas, et il est improbable que les cas de cyberespionnage cessent. Les entreprises 
doivent donc investir dans la sécurisation de leurs systèmes d’information, mais également se coordonner avec 
les autorités étatiques en charge de ces questions pour apporter une réponse commune. Des tentatives vont dans 
ce sens au niveau européen avec la création d’une entité spécifique au sein d’Europol pour lutter contre la 
cybercriminalité. Il faudra attendre plusieurs années pour en juger l’efficacité, d’autant plus que c’est un combat 
sans fin qui se fait jour avec des assaillants déterminés, agissant avec peu de moyens mais une efficacité certaine, 
et des cibles qui doivent se contenter d’une attitude défensive, et chercher à toujours renforcer cette dernière. Il 
en va de la pérennité même des entreprises. 

Tribune initialement publiée pour le Nouvel Observateur (Le Plus) le 25 février 2013 (http://leplus.nouvelobs.com/contribution/790471-eads-et-thyssen-pirates-pourquoi-le-hacking-a-encore-de-beaux-jours-devant-lui.html)

Aucun commentaire:

Enregistrer un commentaire