Upload
eddye0
View
33
Download
0
Embed Size (px)
DESCRIPTION
La menace est diffuse, discrète, mais bien réelle. La plupartdes administrations et des grandes entreprises ont déjà été victimes du cyberspionnage. Mais l’heure de la mobilisation a sonné.
Citation preview
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
1/12
Dossier
32. 01 BUSINESS
RAPHAEL
DEMARET
POUR
01BUSINESS
Gare aux espions !Tout ce que vous devezsavoir pour protger vosinformations sensibles
Cest un vrai cri dalarme quapouss le Centre danalyse stra-tgique (CAS) dans une notepublie le mois dernier. Selonlui, le dveloppement massif du
cyberespionnage constitue une menace majeurepour lconomie franaise. Captation de savoir-faire, de pistes de recherche et dveloppementconfidentielles, de donnes financires... Cepillage est en cours dindustrialisation, la foisparce que la concurrence conomique mondialeest plus froce que jamais, et parce que le d-ploiement du numrique dans les entreprises lesrend vulnrables aux cyberespions de tout poil.
Selon le CAS, mme si lampleur du phno-mne est impossible mesurer prcisment, ilest urgent de sentourer de prcautions : La plu-part des grandes entreprises et des administra-tions ont trs probablement dj t victimesdintrusions des fins despionnage , estime-t-il. Si la criminalit numrique (virus, attaquescontre des infrastructures, dtournement de don-nes bancaires...) provoque des dgts immdia-tement identifiables, une campagne despionnageest, par principe, invisible. Les outils utiliss parles cyberespions pour tout connatre de votre
La menace est diffuse, discrte, mais bien relle. La plupartdes administrations et des grandes entreprises ont dj t victimes
du cyberspionnage. Mais lheure de la mobilisation a sonn.
P. 34 Interview : Les entreprises doivent rompre la loi dusilence. Christian Harbulot, directeur de lEcole de guerreconomique, fait le point sur les lacunes hexagonales.
P. 36 PC de bureau :loignez les curieux de votre poste de travailUne fois log dans votre ordinateur, un logiciel espion
transmettra vos donnes son commanditaire.P. 39 Imprimantes :mfiez-vous de leur mmoire dlphant.
Imprimer un document laisse des traces numriques. Et le
papier finit souvent dans des corbeilles accessibles tous.
P. 40 Mobiles :ne laissez jamais traner votre smartphone !Ecouter vos conversations ou lire vos courriels est la
porte de nimporte quel apprenti espion.
P. 42 Rseaux Wi-Fi :sachez reprer les hotspots bidons. Besoinde vous connecter en dplacement ? La prudence simpose
SOMMAIRE
01B_2164_034_037_DOSSIER 4 OUV.indd 32 04/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
2/12
WWW.01 BUSINESS.COM .33
Christian Harbulot,
le directeur de lEcole
de guerre conomique,
invite les entreprises
franaises la vigilance
face au vol dinformations.
01B_2164_034_037_DOSSIER 4 OUV.indd 33 04/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
3/12
34. 01 BUSINESS
Dossier
Les entreprises doiven
Christian Harbulot estle directeur de lEcolede guerre conomi-que (EGE) quil afonde en 1997 avec
le gnral Jean Pichot-Duclos.Chaque anne, ltablissement formeune centaine dexperts en intelligenceconomique. Elev en 2008 au grade delieutenant-colonel de rserve, cet ex-pert, auteur de nombreux ouvrages (Ilnous faut des espions, La Main invisibledes puissances ou Le Manuel de lintel-
ligence conomique) fut en 1994 lundes principaux contributeurs au rap-port Martre qui a pos les bases de lin-telligence conomique franaise. Pour01 Business, il fait le point sur les mesuresque doivent prendre les entreprises fran-aises afin de garantir leur scurit.
Le phnomne du cyberespionnage
est-il aujourdhui exagr?
CHRISTIAN HARBULOT :Non, je dirai mmequil est sous-valu. Nous nous trou-vons confronts une monte en puis-sance sans prcdent de la criminalit
informatique. Lapparition de nouveauxoutils numriques, comme les smart-phones ou les rseaux sociaux, multiplieles failles potentielles. Le vol dinforma-tions est de plus en plus facile et, surtout,de moins en moins risqu. Sait-on pourautant mesurer prcisment le niveaurel du cyberespionnage ? Non, malheu-reusement, car les entreprises, et particu-lirement les PME, nont pas consciencede ces risques. Beaucoup dentre ellesignorent mme tout simplement quellessont observes.
Dans les affaires rcentes de cyber-
espionnage, la Chine a souvent tpointe du doigt. Est-ce une ralit ?
CH :Il est vident que les Chinois ne sontpas larme au pied en matire de cyber-guerre et de cyberespionnage. Oui, lem-pire du Milieu est une menace, mais pre-nons garde ne pas la diaboliser tropvite. En matire dintelligence cono-mique, il est toujours difficile de prou-ver qui fait quoi. En revanche, ce qui estcertain, cest que nous sommes dsor-
mais plongs dans une conomiemondiale tourmente avec deschocs concurrentiels de plus enplus durs. Les menaces sont par-tout. Lespionnage est dailleursquelquefois pratiqu par des en-
treprises franaises contre dautres entre-prises franaises.
La France est-elle bien arme
pour se protger ?
CH :Regardons les choses en face, noussommes fragiles. Cest dj vrai au ni-
veau de lappareil dEtat, alors je ne vousparle mme pas des entreprises. Certes,les pouvoirs publics ont fait des effortsavec la cration, en 2008, de lAnssi(Agence nationale de la scurit des sys-tmes dinformation). Mais les moyensfinanciers et humains de lagence restentaujourdhui deux fois infrieurs ceuxde son quivalent allemand. LAnssi sefocalise donc sur quelques priorits stra-tgiques et ralise, au coup par coup, desactions de sensibilisation auprs des so-cits. Cela reste insuffisant. Si lon en-tend peu parler des problmes, cest quil
existe dans les entreprises, soucieuses deprserver leur rputation auprs de leursclients, une tradition de loi du silence. Lasituation nest pas diffrente dans lesadministrations.
Comment expliquez-vous
une aussi faible mobilisation
face au cyberespionnage?
CH :Les raisons sont multiples. La pre-mire est quil ny a pas encore eu defaits marquants de cyberespionnage,comme le crash dun avion, qui au-rait pu frapper les esprits. Ensuite, il ya longtemps eu dans lHexagone unvide juridique concernant lespionnageconomique. Pour beaucoup de juges,lespionnage ne peut tre que militaire.Il est donc difficile pour une entreprisedaller devant les tribunaux pour ce typedaffaire. Une autre inconnue concernele rle qui incombe aux agences gouver-nementales de surveillance (DGSE, Ans-si...). Doivent-elles tout surveiller ? Et sioui, sont-elles tenues de prvenir quandelles constatent des activits de cybe-
activit sont de plus en plus discrets etcomplexes , explique Nicolas Caproni,expert en scurit du cabinet BSSI.
O les trouvent-ils ? Les diteurs sp-cialiss dans la conception de logicielsdintrusion, tels que lAmricain Ne-tragard ou le Franais Vupen, ne cdentleurs trouvailles officiellement qudes gouvernements ou de grandes or-ganisations. Mais il existe un march pa-rallle trs structur. Sur Internet, desplaces de march clandestines mettenten concurrence des dizaines de hackers
indpendants qui y coulent leurs trou-vailles, tels ces programmes mouchardssautodtruisant aprs un certain dlai.Selon le laboratoire de virologie et de
cryptologie op-rationnelles delcole ding-nieurs Esiea, lecot dun codemalicieux a tdivis par cinqdepuis 2004. Il se
situerait dans une fourchette de 20 000 250 000 dollars. Une mise vite rentabi-
lise dans le cas dun piratage de brevetou de lobtention dun appel doffres.Douce illusion.Pourtant, rares sont les en-treprises ayant vraiment pris consciencedu danger. Les dirigeants estiment sou-vent que seules les activits stratgiques(militaire, arospatiale...) sont menaces. Cest une illusion, affirme Nicolas Ca-proni. Toutes les socits peuvent trevictimes de cyberespionnage, et en par-ticulier les PME innovantes qui consti-tuent des cibles trs intressantes pourdes Etats trangers ou des concurrents. Mais on lignore, car lorsquune entre-prise dcouvre (le plus souvent par ha-sard) quelle a t pirate, la loi du si-lence lemporte , affirme ChristianHarbulot, le patron de lEcole de guerreconomique.
Dcouvrez dans notre dossier com-ment les pirates sapproprient vos infor-mations sensibles et quelles prcautionsprendre pour leur compliquer la tche.Inquitant ? Dites-vous, comme AndyGrove, le fondateur dIntel, que seuls lesparanoaques survivent... DIDIER GNEAU
Les PMEinnovantesconstituent
des cibles trsprises
01B_2164_034_037_DOSSIER 4 OUV.indd 34 04/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
4/12
La modedu BYODpeut fairedes ravages
WWW.01 BUSINESS.COM .35
briser la loi du silence
RAPHAELDEMARETPOUR
01BUSINESS
-VINCENTISORE/IP3
respionnage ? Lorsquil sagit dactivi-ts stratgiques pour les intrts vitauxfranais, la rponse est vidente. Maisque faire quand cela concerne dautressecteurs dactivit ? Il convient de dfinirun champ lgal dobservation. La ques-tion nest pas anodine, loin de l.
Vous voquez galement
un problme culturel
dans les entreprises...
CH :En effet. On observe undni des risques lis au voldinformations. Les pro-cdures de scurit sontperues comme dgradant le confortdutilisation des communications oudes rseaux. Dire quelquun de pro-tger son poste de travail par un codede huit chiffres est vcu comme uneagression. On voque aussi souvent lescontraintes que cela fait peser sur la pro-ductivit et la comptitivit.
Quels sont, aujourdhui, les points
faibles numriques des entreprises?CH :Les nouveaux outils technos mlan-gent allgrement le personnel et le pro-fessionnel. Cela peut avoir des cons-quences catastrophiques. Il faut chercher dissocier ces deux aspects. En termes
de communications et deflux dinformations, int-grons le fait quune inter-ception est toujours pos-sible. Ainsi, si vous craignezdtre cout lors dun ren-dez-vous important, nhsi-tez pas retirer la puce de
votre mobile. Mettre toute linformationde lentreprise sur un terminal mobile re-prsente un autre danger. Quelles cons-quences si je perds mon portable ? Quelssont les moyens de rendre inactif ce ter-minal distance le plus vite possible ?Mme un simple carnet dadresses etun agenda complet dans un smartphone
sont des informations en or. A priori, siun boulanger se fait voler son agenda,les consquences seront minimes. Maislorsquon exerce de multiples activits,cela peut devenir trs pnalisant. Unjuste milieu est ncessaire entre paranoaet dsinvolture.
Que recommandez-vous
aux entreprises?
CH :Il est impratif quelles prennentconscience de la valeur du capital que re-prsentent leurs informations sensibles.Puis, quelles cherchent savoir quellesdonnes sont rendues publiques sur leursite Web ou sur les rseaux sociaux parles salaris. Reste enfin identifier lesmenaces venant de la concurrence et raliser un audit de leur systme dinfor-mation. Alors seulement, elles pourronttablir des rgles de bon sens en matirede scurit. PROPOS RECUEILLIS PAR
STPHANE BELLEC ET DIDIER GNEAU
QUI SONT LES
FLICS DU NET
Quatre organismes
publics veillent
au grain sur la Toile.
DCRI :la Directioncentrale du
renseignement
intrieur est
rattache au ministre
de lIntrieur.
Befti : la Brigade
denqutes surles fraudes aux
technologies de
linformation est
un service de la police
judiciaire de Paris.
OCLCTIC : lOffice
central de lutte
contre la criminalit
lie auxTIC est une
manation de la
police nationale.
IRCGN : lInstitut
de recherche
criminelle dpend
de la gendarmerie.
Les enquteurs
de lOCLCTIC
contribuent
lutter contre
la criminalit
informatique.
01B_2164_034_037_DOSSIER 4 OUV.indd 35 04/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
5/12
PC DE BUREAU
36. 01 BUSINESS
Dossier
Une fois log au sein de votre poste de travail, un mouchardtransmettra vos informations son commanditaireen toute discrtion. Voici comment protger vos donnesconfidentielles des regards indiscrets.
loignez les curieuxde votre ordinateur
Chez Nortel, cela aura durpresque dix ans ! Un pro-gramme malveillant im-plant dans les ordina-teurs de sept dirigeants asystmatiquement trans-
fr toutes les informations stratgiquesde lquipementier tlcoms canadien un concurrent, jamais officiellementidentifi. Rvle lan dernier, cette af-faire de cyberespionnage pourrait tre lacause des difficults de Nortel, jusqu safaillite en 2009. Plus rcemment, en jan-vier dernier, cest le New York Times qui
dbusquait un logiciel espion sur les PCde 53 de ses journalistes. Presque touscouvraient les sujets lis lAsie, et toutparticulirement la Chine.
Pour deux cas de piratage reconnus, cesont des milliers qui demeurent tus, oune sont jamais dcouverts. Lattaquecible de postes de travail informatiquesest devenue la voie royale de lespion-nage , explique Nicolas Caproni, experten scurit du cabinet BSSI. Opration-nels pendant des mois ou des annes, ra-rement dtects par les antivirus, les lo-
giciels espions sont de moins en moinschers. En fouillant sur les forums sp-cialiss du Web, il est ais dacheter desmalwares cls en main , assure lexpert.
Pour un cyberespion, la seule difficultmajeure est dimplanter ce mouchardchez sa victime. Une opration dlicate,qui repose souvent sur une vulnrabilithumaine. Il existe ainsi cinq mthodesprincipales pour piger des utilisateursimprudents ou crdules.
1Attention auxcourriels pigs Le courrier lectronique demeure lecanal le plus utilis , affirme GromeBillois, directeur du dpartement s-curit de Solucom. Quil sagisse dune-mail aguichant, destin attirer la per-sonne cible sur un site internet pig,ou dun document en pice jointe, conte-nant le code malicieux. Dans ce cas,une mthode rpandue consiste app-ter la victime en usurpant le nom dunresponsable des ressources humaines.Le message contient alors un fichier in-fect nomm politique salariale ou
primes , tmoigne ce spcialiste. Uneautre variante, plus sophistique, sap-puie sur la surveillance distance deschanges de courriels. Lastuce consistealors se faire passer pour lun des inter-locuteurs dans une discussion de travailcontenant un document rvis chaquetape, puis dinfecter la pice jointe. Unemthode quasi imparable, dont le mi-nistre des Finances a fait les frais il y
Comment la loi punit le cyberespionnageSur le papier, le vol dinforma-
tions, le recel et labus de
confiance sont svrement
sanctionns.
Infiltrer un systmedinformation : deux ansdemprisonnement et
30 000 damende (article
323-1 du code pnal).
Introduire des donnes dansun systme dinformation :cinq ans demprisonnement
et 75 000 damende
(article 323-3 du code pnal).
Usurper lidentit dequelquun(prendre unefausse identit sur le rseau
Facebook, se faire passer pour
un responsable informatique) :
un an demprisonnement et
15 000 damende (article
226-4-1 du code pnal).
Violer une correspondancelectronique:un an deprison et 45 000
damende (article
226-15 du code pnal).
Distribuer des quipementsmalveillants :de deux cinq ans de prison et de
30 000 75 000 damende
(article 323-3-1 du code pnal).
Vendre des donnes voles :cinq ans demprisonnement
et 375 000 damende
(article 321-1 du code pnal).
1 000LE NOMBRE DENTREPRISESFRANAISES ESPIONNES
PAR AN
01B_2165_036_38_DOS-Poste.indd 36 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
6/12
WWW.01 BUSINESS.COM .37
AARONG
OODMAN
a peu : en mars 2011, un PDF pig en-voy par e-mail un fonctionnaire deBercy a entran la contamination en cas-cade de 150 ordinateurs par un logicielconu pour siphonner des informationssur le G20. Ce mouchard a svi plusieursmois avant dtre dcouvert. Son crateurcourt toujours...
Il est possible de limiter les dgts dus ce type dattaques. Grome Billoisprconise linstallation sur les PC de bu-reau dun dispositif appel bac sable,qui sert ouvrir les pices jointes dansun espace isol du systme dexploitationdu poste de travail. Trend Micro, FireEyeou Damballa proposent notamment cetype de fonction.
2Reprez les faux amissur les rseaux sociauxA moins de dclencher une guerre diplo-matique, il est difficile de ne pas donnersuite une requte lectronique dun
collgue vous invitant rejoindre songroupe damis sur Facebook. Cest parce stratagme quun collaborateur de laprsidence de la Rpublique franaisesest fait piger au printemps 2012. Unpirate ayant usurp le profil Facebookdun autre fonctionnaire de lElyse a ra-pidement convaincu sa cible de tester, enavant-premire, une version exprimen-tale de lIntranet de la prsidence. Le lienindiqu dans le message conduisait de fait une fausse page Web, rplique exacte deloriginale. Ny voyant que du feu, la vic-time a innocemment tap son identifiantet son mot de passe. Le tour tait jou !
Une fois ces prcieuses informationsrcoltes, le cyberespion pouvait sansproblme accder au systme dinfor-mation de la prsidence. Il en a profitpour injecter un ver informatique faitmaison . Ne possdant pas de signaturereconnue, il tait indtectable par lanti-virus. Plus tard, lenqute a rvl que
ce code malveillant permettait de col-lecter des fichiers, de raliser des cap-tures dcran et dactiver le microphonede certains postes de travail. Si le piratena jamais t identifi, beaucoup dex-perts affirment que seuls les services se-crets amricains taient capables duneopration aussi raffine. Certes, les cy-berespions nont pas tous ce niveau tech-nique. Mais crer un faux profil Linke-din ou Viadeo pour soutirer quelquesinformations stratgiques dans le cadredchanges anodins est la porte denimporte qui.
3Refusez les cls USBtombes du cielLa technique, dj ancienne, est toujoursaussi efficace : quand des cls USB dehuit gigaoctets tranent le matin sur leparking de lentreprise, rares sont les sa-laris qui rsistent la tentation de lesramasser puis de les connecter pour en
Avant dintroduire un logiciel
malicieux dans une entreprise
ou de rcuprer des informa-
tions stratgiques auprs
dun collaborateur imprudent, les
cyberespions ont besoin deffectuer
une phase de reconnaissance afin
didentifier les maillons faibles de
lorganisation. Pour lenquteur priv
Fabien Franceschi, du cabinet EIA,
une analyse fine des profils Linkedin
ou Viadeo des salaris est une vritable
mine dor. Parmi les diffrents critres
passs au crible par ce spcialiste de
lintelligence conomique, on trouvelanciennet, les liens hirarchiques,
les volutions professionnelles...
Dans le cadre dune mission daudit de
scurit, ralise pour un cabinet de
consultants, le dtective avait remarqu
que les promotions taient majoritaire-
ment accordes lors de la premire et de
la quatrime anne de carrire. Les
salaris dus pouvaient devenir des
cibles prioritaires. Javais galement
observ que 42 % des consultants non
promus la premire anne quittaient
lentreprise. Un vivier idal dex-
employs exploiter.
La mthode desespions pour reprerles salaris bavards
Les cyberespionslont compris : lesPC des salaris sontdes proies faciles.
5 ansLA DURE PENDANT LAQUELLE LE VIRUS
RED OCTOBER A ESPIONNDES MILLIONS DORDINATEURS
30 eurosLE PRIX DUNE CL USB
QUIPE DUNLOGICIEL ESPION
01B_2165_036_38_DOS-Poste.indd 37 04/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
7/12
38. 01 BUSINESS
On ne sensibilise jamais assez les salarisaux risques de vols de donnes
Dossier
ISTOCK
Ne jetez plus vos vieux PC, dtruisez-les !
Sachez-le : le disque
dur dun poste
de travail jet la
poubelle est
une mine dor pour un
cyberespion ! Autant le
dire, un reformatage
du disque ne sert rien.
Mme si les donnes
semblent effaces, ce
nest quune apparence.
Elles restent en fait
toujours accessibles
physiquement viacertains outils. Des
moyens plus effi caces
existent. Le plus radical
consiste plaquer
un aimant sur le disque
dur. Cette mthode
a le mrite de casser les
pistes magntiques et de
les rendre dfinitivement
inutilisables. Toutefois,
en cas de revente ou de
don de PC, le logiciel
gratuit Ccleaner peut
se rvler utile. Son
fonctionnement est
simple : il va rcrire de
fausses informations sur
le disque en effectuant
plusieurs passages
(jusqu 35, sil le faut).
Le temps de lopration
dpendra du volume
initial de donnes, mais
cela peut durer une
dizaine dheures. Dans
le cas o lon veut se
dbarrasser de plusieurs
centaines dordinateurs
ou de disques durs,
mieux vaut faire appel
des socits spcialises
comme Kroll On-Track
ou Chronodisk.
Les disques durs nont pas la mmoire qui flanche.
lire le contenu. Erreur fatale ! Ce type decadeau tomb du ciel est rarement l parhasard. Elles contiennent souvent un lo-giciel espion qui va ainsi se loger dans leposte de travail de la victime sans quellesen rende compte.
Nathalie Risacher, responsable scuritchez Natixis America, a voulu prouverlan dernier la prudence des salaris desa banque. Nous avons sem dans noslocaux des cls USB contenant un fichierdapparence confidentielle de type sa-laires , raconte la jeune femme. Ds
quune delles tait utilise, un dispositifde supervision prvenait automatique-ment la responsable de louverture dufaux fichier. Les rsultats du test ont t siinquitants que Nathalie Risacher a fina-lement opt pour une interdiction gn-rale des priphriques de stockage USBsur tous les postes de travail. Aux grandsmaux, les grands remdes... Aujourdhui,la plupart des systmes dexploitationtiennent compte de cette faille. Ils savent
dsactiver lexcution automatique pardfaut des supports USB. Mais, l en-core, on ne sensibilise jamais assez lessalaris ce type de risque , ajoute G-rome Billois.
4Ne communiquez jamaisvos mots de passeEt si, pour obtenir les informations dunutilisateur, il suffisait tout simplement deles lui demander de vive voix ? Cest toutlenjeu du social engineering, une formedespionnage qui exploite les failles hu-
maines et non plus techniques. Larnaquetlphonique est une mthode prouve : Allo, ici le service informatique. Je voisquil y a eu une tentative dintrusion survotre compte. Je dois procder une ri-nitialisation de votre mot de passe. Pou-vez-vous me confirmer vos informations ? Oui, bien sr !
Un autre scnario consiste se fairepasser pour un utilisateur et faire croireau service informatique quon a oubli
son mot de passe. Nathalie Risacher amalheureusement pu constater que cettetechnique fonctionnait trs bien. Dansle but de rpertorier les vulnrabilitsde la banque Natixis, elle a appel sonpropre support technique et sest fait pas-ser pour une collaboratrice exigeant cetteopration. Ce qui lui a t accord sanssouci. Jai donc dcid de durcir la pro-cdure didentification du demandeur,en obligeant les techniciens se dplacerou rappeler la personne concerne surson mobile pour quelle sidentifie. Et je
vrifie au moins une fois par an que lesconsignes sont bien respectes , racontela responsable scurit.
5Surveillez laccs vos bureauxQuand les autres mthodes ont chou,le cyberespion a encore la possibilit depntrer dans lentreprise pour tenterdaccder physiquement au poste de tra-vail de la personne cible. Mme si ceprocd semble particulirement risqu,Fabien Franceschi, du cabinet de dtec-tives privs EIA, assure que cest un jeu
denfant. Ce spcialiste de lintelligenceconomique est rgulirement sollicitpar des socits afin de tester leurs pro-cdures de scurit et rentrer incognitodans leurs locaux.
Il suffit de se faire passer pourquelquun qui a quelque chose dimpor-tant faire, quil sagisse dune livraisonde fleurs, de pizzas ou dun dpannagequelconque, pour tromper les services degardiennage et russir se balader danstous les bureaux , assure Fabien Fran-ceschi. Afin de prouver quil a russi accder lordinateur dun salari, le d-tective va jusqu exfiltrer des donnes endupliquant des disques durs ou en bran-chant une cl USB 3G sur une machinepour en prendre le contrle distance.
Selon Fabien Franceschi, accrotre lascurit informatique passe donc gale-ment par un durcissement des modalitsdaccs aux locaux de lentreprise et unemeilleure sensibilisation des quipes degardiennage ce type de risques. L en-core, lhumain reste la meilleure dfensecontre les cyberespions. STPHANE BELLEC
01B_2165_036_38_DOS-Poste.indd 38 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
8/12
WWW.01 BUSINESS.COM .39
ISTOCK
Les imprimantes aussi ont un talon
dAchille : leur disque dur, qui
enregistre les documents produits.
Le chiffre est alarmant : 63 %des entreprises reconnais-sent avoir perdu des don-nes confidentielles causedune mauvaise gestion deleurs imprimantes, selon
une tude rcente mene par le cabinetQuorcica et lditeur Nuance. Pourtant,seules 22 % des socits europennesaffirment avoir scuris leurs systmesdimpression. Pourquoi une telle inertie ?
La quasi-majorit des responsablesscurit interrogs prtexte des chan-tiers plus prioritaires. Cest oublier quelorsque les messageries, les postes detravail et les terminaux mobiles ont tscuriss, les prcautions deviennentcaduques chaque fois quune informa-tion confidentielle ou sensible est im-prime, facilement rcuprable par descurieux malintentionns.
Pour la consultante Sharon Fisher,ancienne analyste de Gartner Group,cette ngligence est dautant plus dom-mageable que plus les priphriquesdimpression deviennent intelligents, plusils sont vulnrables . De fait, ces appa-reils multifonctions, capables dimpri-mer, de copier, de scanner et de faxer,sont dots de disques durs quienregistrent limage des docu-ments produits. Pour le chan-ceux qui mettrait la main surlun de ces supports de stoc-kage, cest lassurance de r-cuprer un beau paquet din-formations exclusives.
Autre point faible technique de cesimprimantes : leur connexion au rseaudentreprise, pas toujours suffisammentscurise. Lors daudits, on arrive par-fois accder des imprimantes den-
treprise grce une simple recherchesur Google , assure lexpert NicolasCaproni, du cabinet BSSI. Pour le cybe-respion, cest une porte dentre idale.Lorsquil ne peut voir que le nom desdocuments en attente dimpression, lesconsquences restent minimes. Maisquand une faille de scurit permet decharger les documents imprims, commecest arriv lan dernier avec des modlesSamsung, cela devient critique. En no-vembre 2011, deux chercheurs de luni-versit de Columbia avaient dj mis
jour une faille sur les laserjet de HP don-nant un accs au rseau dentreprise. Untype de vulnrabilits dautant plus cri-tique que les logiciels de scurit nanaly-sent que rarement les imprimantes.Pche miraculeuse. La parade est tech-nique, et ncessite au moins linstallationdun pare-feu ainsi quun suivi rgulierdes mises jour du firmware, le logicielinterne de limprimante. Il faut galementveiller tablir une procdure stricte lorsdu changement de matriel dimpression,mme si celui-ci est en location, en pre-nant soin deffacer son disque dur.
Si limprimante est correctement scu-rise, le cyberespion naura alors dautrechoix que de se rabattre sur... le papier !Sil parvient entrer dans les locaux delentreprise, la pche peut tre fructueuse.Selon Canon et linstitut BVA, 20 % dessalaris franais ont dj trouv des do-cuments confidentiels dans le bac desimprimantes. Recourir un systme decarte avec code PIN pour rcuprer sesimpressions vite quelles ne sempilentet tombent entre de mauvaises mains ,recommande Grome Billois, directeur
du dpartement scurit du ca-binet de conseil Solucom.
Demeure encore un risque :la fouille des poubelles. Dansune enqute de 2008, le Cr-doc avait rvl que deuxtiers des poubelles dun chan-tillon de 200 entreprises fran-
ciliennes contenaient au moins un docu-ment confidentiel. L encore, la solutionest technique, mais pas informatique : unbon vieux broyeur de documents peut servler trs efficace ! JEAN-MARC GIMENEZ
Certainesimprimantessont
accessibles
par Google
IMPRIMANTES
Les paroles senvolent, les crits restent. Imprimer undocument peut avoir des consquences insouponnes. Etsi le papier reprsentait la premire des failles de scurit ?
Mfiez-vous de leurmmoire dlphant
01B_2165_039_DOS Imprimante.indd 39 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
9/12
Le BYOD dmultiplie les risques
Dans 80 % des
entreprises
amricaines et
europennes,
les salaris utilisent au
bureau du matriel
informatique personnel,
selon une tude deForrester. Cette dernire
montre aussi que ce
phnomne baptis
BYOD (Bring Your Own
Device) crot denviron
30 % par an. En 2017, il
devrait concerner environ
905 millions de termi-
naux. Les nombreux
points daccs au systme
dinformation sont autant
de vulnrabilits
exploiter pour les hackers.
Des chiffres ont t
communiqus par
lditeur Trend Micro, et
relays par lInstitut
national des hautes
tudes de la scurit et de
la justice (INHESJ). Ils ont
rvl quentre 2007 et
2012, la prolifration des
iPhone, iPad et mobiles
Android connects au
systme dinformation
des entreprises a
engendr une augmen-
tation de 35 % du nombre
dattaques par Internet
et de 12 % du piratage
par courriels.
Plus de
900 millions
de terminaux
personnels
seront utiliss
au travail
en 2017.
40. 01 BUSINESS
Dossier
S
ortir son smartphone de sapoche pendant un conseildadministration, le mettre
en mode silencieux et leposer sur la table... Voiciun geste bien anodin quine semble gure prter
consquence. Erreur ! Si lappareil a tpralablement pig, son micro sactiveet capte la conversation sans que per-sonne ne sen rende compte. Le mobile alair inactif. Pourtant, des centaines dekilomtres de l, des oreilles indiscrtescoutent tout ce qui se dit.
Ce scnario ne relve en rien de lascience-fiction. Il existe aujourdhui unemultitude de technologies permettant
despionner des personnes par linterm-diaire de leur tlphone, mais aussi de si-phonner les contenus qui y sont stocks.
Certains de ces logiciels, dits dcouteenvironnementale, sinstallent directe-ment sur lappareil. Selon Symantec, ces
outils reprsenteraient plus de la moi-ti des applications malveillantes ac-tives sur mobile. Une simple recherchesur Google, avec les mots cls espion-nage et smartphone , permet de d-couvrir quelques-uns dentre eux la plu-part, videmment, illgaux en France ,parmi lesquelles vip13-Pro, Omegaspy,MB-Pro, Copy9, Spybubble ou encoreGSMespion.
Le descriptif de leurs fonctions est sansquivoque : activation du microphone,interception discrte des courriers lec-troniques, des SMS et des messages ins-
tantans Blackberry Messenger, Whats-App et Skype, accs aux contacts, auxnotes... Le plus surprenant, cest que ces
logiciels mouchards sont la porte detoutes les bourses : leurs prix oscillententre zro et quelques centaines deu-ros. Beaucoup dacheteurs se les procu-rent pour des raisons personnelles, afindpier un conjoint ou un enfant diffi-cile. Mais les occasions de les utiliser dansune optique de cyberespionnage ne man-quent pas, ds lors que lon a franchi leprincipal obstacle : trouver le moyen deprendre en mains quelques minutes le
smartphone de la personne cible pour yinstaller le logiciel.
Les mouchards sontquasi indtectables
Il existe des outils despionnage plus vo-lus, camoufls en application inoffensive(jeu, outil de productivit...). Dans lim-mense majorit des cas, cest lutilisa-teur qui linstalle lui-mme, aprs avoirreu un mail incitatif envoy par le pirate. Les actions de ce type dapplis sont invi-
sibles et il est trs difficile de les dtecter,raconte Chadi Hantouche, expert scu-rit chez Solucom. Cependant, certainssignes, telle la consommation excessivede la batterie du tlphone, doivent aler-ter le possesseur du mobile.
Sils sont confronts des utilisateurssensibiliss ces dangers, les cyberes-pions auront du mal implanter ce typede mouchard. Les plus chevronns setournent alors vers du matriel inconnudu commun des mortels, comme le sys-tme IMSI (International Mobile Subs-criber Identity) Catcher. Cet appareil, quitient dans un sac dos, se substitue auxantennes-relais des oprateurs mobiles etcapte les communications tlphoniquesenvironnantes. En thorie, lutilisationde cette technologie, soumise une l-gislation stricte, est rserve aux agencesde renseignements gouvernementales.Toutefois, ce systme sacquiert au mar-ch noir pour moins de 1 000 euros.
Selon le cabinet Lexsi, spcialis enscurit informatique, les entreprisesqui souhaitent se protger doivent re-
MOBILESNe laissez jamais
traner votre smartphone !Les logiciels espions se trouvent facilement sur la Toile
et peuvent tre glisss votre insu dans votre tlphone.
Pour garder confidentiels vos communications, courriers
lectroniques et fichiers, la plus grande prudence simpose.
01B_2165_040_041_DOSmobiles.indd 40 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
10/12
WWW.01 BUSINESS.COM .41
ISTOCK
-MAXPPP
courir des solutions de chiffrement descommunications GSM . Avec un imp-ratif : Que lapplication soit installesur les mobiles de tous les interlocuteurs,sans exception. Cette contrainte rduitalors le primtre de protection aux seulssalaris de lentreprise et aux partenairesvolontaires pour utiliser le mme sys-tme de chiffrement. Cellcrypt, Ercom,ou encore Teopad, commercialisent detels logiciels de chiffrement des commu-nications tlphoniques.
Enfin, dfaut dcouter les conversa-tions, une personne malintentionne atoujours la possibilit de rcuprer lesinformations contenues dans lappareilen le subtilisant. En 2011, 70 millionsde smartphones ont t perdus ou volsdans le monde, rvle le fournisseur in-formatique Kensington. Seuls 7 % dentreeux ont retrouv leur propritaire. En d-cembre dernier, la Direction centrale du
renseignement intrieur franais (DCRI)a dmontr, lors dun congrs du Clubdes directeurs de scurit des entreprises(CDSE), quun smartphone vol larra-ch pouvait tre vid de toutes ses don-nes en moins dune heure. Une opra-tion ralisable avec un logiciel capablede casser le code de verrouillage et dex-traire les informations de lappareil, auprix de quelques centaines deuros.
Les entreprises nese projettent pas assez
Selon la DCRI, il est donc urgent que lesentreprises franaises scurisent davan-tage leur parc de tlphones mobiles.Lan dernier, une tude du Club de la s-curit de linformation franais (Clusif) aainsi rvl que deux tiers des socitsde plus de 200 salaris nutilisaient pas
dantivirus sur leurs terminaux nomades.De mme, trois organisations sur quatrene chiffrent pas les donnes inscrites surleurs quipements mobiles. Cest unvrai problme, particulirement avecles modles Android , estime RenaudBidou, directeur technique de lditeurDenyAll. En effet, les applis qui fonction-nent sous ce systme dexploitation sontmoins contrles que celles pour iPhone.
La solution adopter en priorit ? Uneconsole de gestion des terminaux et desapplications mobiles. Les DSI peuventainsi grer distance les applis installessur leurs flottes de mobiles et procderautomatiquement aux mises jour lo-gicielles. Mais ces consoles ont un autreavantage : elles sont capables deffacer distance tout le contenu dun smartphoneperdu ou vol. Une intervention prati-quer systmatiquement ds quun mobileest port disparu. EDDYE DIBBAR
UNE HEURE SUFFIT
POUR SIPHONNER
UN SMARTPHONE
10h10 10 h 11 10 h 21
11 h 01 11h05
Une fois la carte SIMretire,lappareil ne peut plus tre
dtect par loprateur.Ilnest plus possible
non plus den effacerle
contenu distance.
Attaqu
parunlogiciel
spcialis, lecode
deverrouillage,
contenant seulement
quatrechiffres,
cderapidement.
Silemobileatsubtilisfurtivement,
lespionpeutlereplacerdanslapochedelavictime,quinyaura
vuquedufeu.
Lavictime
se fait
subtiliser son
tlphonemobile
sansmme sen
rendrecompte.
Trente quarante minutessuffi sent pour sapproprier
toutes les donnesstockes sur le mobile.
Le temps de casserles mots de passe daccs
aux applications avantde copier les informations.
01B_2165_040_041_DOSmobiles.indd 41 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
11/12
42. 01 BUSINESS
Dossier
Pour prs de neuf person-
nes sur dix, le Wi-Fi estle mode de connexionprfr pour surfer surInternet en situation demobilit. Trouver un r-seau disponible est le
premier rflexe des cadres en voyagedaffaires. Pour 88 % dentre eux, cestmme aussi vital que leau ou llectri-cit, selon une tude iPass ! Mais cestparfois un casse-tte. Dans son dernierrapport, ce spcialiste de la mobilitmontre que la moiti des profession-nels nomades prouvent des difficults
trouver un accs Wi-Fi pu-blic. La tentation est alorsgrande de se connecter aupremier hotspot affichantau moins trois barrettes, etnon protg par un mot depasse. Cest l que les en-nuis commencent.
Car savez-vous vrai-ment qui se cache der-rire ? Les faux hotspotssont une menace rpan-due. Lorsque vous effec-tuez une recherche desrseaux accessibles dansun lieu public, un aroportou un caf, ils sont classspar force du signal. M-fiez-vous alors des bornesintitules Wi-Fi gratuit ,ou portant le nom du lieuo vous vous trouvez sil
nest pas prcd dun cadenas. Il peutsagir dun appt, mme si la page deconnexion qui souvre aprs lavoir choi-si semble des plus lgitimes.
En effet, rien nest plus facile pour un
pirate que de contrefaire un rseau. Il luisuffit de connecter un routeur USB Wi-Fi 3G que lon peut se procurer pourquelques dizaines deuros sur nimportequel site marchand un PC portable.Lavantage (ou linconvnient) de ce typede botier est quil supporte plusieursconnexions simultanes.
Ainsi quip, un fraudeur install quelques mtres de vous est capabledenregistrer le trafic Wi-Fi de touteune salle. Et il est en mesure de drobervos identifiants et vos mots de passe deconnexion au rseau de votre entreprise,
votre compte de messagerie, votrebanque, etc. Le sujet de ces faux hots-pots revient trs souvent dans les conf-rences de scurit. Pourtant, il faut re-connatre quils ne sont pas trs courantsdans les lieux publics , nuancent RmiChauchat et Julien Reveret, consultantset formateurs en scurit Wi-Fi au seindu cabinet HSC. Le problme, cest quilspourraient bien le devenir.
Mme un amateurpeut usurper un rseau
Car depuis quelque temps, un simplesmartphone suffit pour monter un fauxrseau, en utilisant une technique la porte de nimporte quel amateur.Lan dernier, une application pour tl-phone Android, opportunment appe-le Fake Hotspot, a fait son apparitionsur la boutique en ligne Google Play auprix trs attractif de 0,99 euro. Elle per-mettait de simuler les hotspots commu-nautaires des oprateurs Free, Bouygues
Telecom et SFR. Et fournissait ainsi lemoyen de rcuprer les identifiants deconnexion des abonns et dusurperensuite leur identit. La seule limite decette appli : elle ne peut accepter plus dedeux connexions simultanes. Il a falluquelques semaines Google pour reti-rer ce logiciel litigieux de sa boutiqueen ligne. Mais tout internaute un peucurieux la retrouve facilement sur dessites spcialiss. Do la mise en gardedeRmi Chauchat et Julien Reveret : Tout le monde doit garder l espritquun appareil nomade connect unrseau sans fil public nest pas sr.
Lavertissement est dautant plus ju-dicieux quune autre menace plane surles utilisateurs de Wi-Fi, connects cettefois de vrais hotspots : le sniffing (re-niflement, en franais). Cette techniquede piratageconsiste couter le trafic laide dun matriel spcialis, voire dunsimple ordinateur portable convenable-
Les aroports
figurent parmi les
lieux de prdilection
des pirates.
LE WI-FIEN CHIFFRES
46 %du trafic transitera en
Wi-Fi en 2015. (IPASS)
5,8 millionsde bornes Wi-Fi public
dans le monde en 2015.
(INFORMA)
36 %des appareils
connects aux hotspots
publics sont des
smartphones. (INFORMA)
88 %des professionnels
nomades jugent
lInternet mobile vital.
(IPASS)
RSEAUX WI-FI
Besoin de vous connecter au cours dun dplacement ?
La prudence simpose. Car il est facile de se laisser abuser par
un rseau contrefait et de livrer ses donnes un indiscret.
Sachez reprerles hotspots bidons
01B_2165_042_043_DOSS WIFI.indd 42 03/04/13
5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles
12/12
WWW.01 BUSINESS.COM .43
ISTOCKPHOTO
ment configur. Le cyberespion com-mence par tout enregistrer, mme lesdonnes chiffres. Puis, une fois rentrchez lui, il a le temps de les dcrypter, condition dtre quip dun matrielde pointe. La mthode est sophisti-que, mais elle est la porte de toutepersonne qui sy intresse. Il est facilede trouver des informations sur Internetpour la mettre en uvre , soulignentRmi Chauchat et Julien Reveret.
Airtight Networks, une socit am-ricaine qui commercialise des solutionsde Wi-Fi scurises, a fait la dmonstra-tion pour CNN des ravages du sniffing laroport dHeathrow (Londres). Avecun PC portable et un simple logiciel desniffing tlcharg sur Internet, tous lesdtails des changes alentour, non s-curiss, taient alors apparus en clair lcran. Personne nest labri, dautantque lors dune tude sur la vulnrabilitdu Wi-Fi, le mme Airtight Networks a
constat quen moyenne, 59 % des uti-lisateurs de hotspots Wi-Fi dans les aro-ports passent par des connexions Inter-net non scurises.
Le rseau priv virtuel,une parade efficace
Face ces menaces, la prcaution debase en situation nomade consiste sur-fer uniquement sur des sites crypts aumoyen du protocole scuris HTTPS.Pour la plupart des usages, ce nest pasune contrainte, puisquil est adopt pardes sites et des services Internet tels queFacebook, Twitter, Gmail, Outlook.com,Google Drive, Skydrive ou encore Pay-pal. Mais la meilleure parade reste le r-seau priv virtuel (ou VPN, pour VirtualPrivate Network). Ce logiciel interm-diaire, mis en place par lentreprise pourassurer les changes avec elle, sintercale
entre vous et son rseau afin den assurerla confidentialit. Les communicationsentre le PC connect un hotspot Wi-Fipublic et le serveur VPN de lentreprisesont chiffres, rendant ainsi quasi inex-ploitables les donnes ventuellementrcupres par sniffing. Pour beaucoupdentreprises, le VPN est dj entr dansles murs, explique-t-on chez HSC.
Mais encore faut-il que les salaris encomprennent lintrt et quils ne cher-chent pas, par confort ou par paresse, le contourner. Il demeure donc indispen-sable de sensibiliser rgulirement lescollaborateurs nomades aux questionsde scurit, par le biais doutils pdago-giques comme des courriels internes r-guliers ou des campagnes de posters af-ficher dans les locaux. Car il suffit quuneseule personne baisse la garde une foispour que schappent dans la nature lesinformations les plus sensibles.
JEAN-MARC GIMENEZ
1TROMPEZ-VOUS DIDENTIFIANT
Lorsque vous vous connectez un hotspot
Wi-Fi, saisissez de fausses donnes la premirefois. Sil sagit dun pont daccs pirate,
il ne relvera pas lerreur. Et vous, vous saurez
quil faut vous mfier.
2VRIFIEZ LE NOM DU RSEAU
Dans un lieu public, demandez un
responsable la confirmation de lidentifiant
exact du hotspot officiel du lieu (SSID).
3SURFEZ EN MODE HTTPS
Vrifiez que, dans votre navigateur Internet,
ladresse de la page dauthentification ou de
connexion un hotspot public dbute bien par
HTTPS (et non par HTTP). Un cadenas saffiche
alors en bas de la fentre ou ct de ladresse.
4EVITEZ LES SITES SENSIBLES
Sur un hotspot Wi-Fi public, ne vous
connectez pas avec vos identifiants personnels
un site dentreprise non scuris, une
banque ou des sites au contenu sensible
requrant des informations professionnelles ou
personnelles (le site des impts, par exemple);
5PRIVILGIEZ LA 3G
Avec un smartphone ou une tablette pro,
optez pour les connexions 3G. Sur un portable,
dsactivez le partage de fichiers. Annulez
les connexions automatiques et dsactivez
le Wi-Fi si vous ne vous en servez pas.
Cinq conseils pourminimiser les risques
01B_2165_042_043_DOSS WIFI.indd 43 03/04/13