Gare aux espions ! Tout ce que vous devez savoir pour protéger vos informations sensibles

5/28/2018 Gare aux espions ! Tout ce que vous devez savoir pour protger vos informations sensibles

1/12

Dossier

32. 01 BUSINESS

RAPHAEL

DEMARET

POUR

01BUSINESS

Gare aux espions !Tout ce que vous devezsavoir pour protger vosinformations sensibles

Cest un vrai cri dalarme quapouss le Centre danalyse stra-tgique (CAS) dans une notepublie le mois dernier. Selonlui, le dveloppement massif du

cyberespionnage constitue une menace majeurepour lconomie franaise. Captation de savoir-faire, de pistes de recherche et dveloppementconfidentielles, de donnes financires... Cepillage est en cours dindustrialisation, la foisparce que la concurrence conomique mondialeest plus froce que jamais, et parce que le d-ploiement du numrique dans les entreprises lesrend vulnrables aux cyberespions de tout poil.

Selon le CAS, mme si lampleur du phno-mne est impossible mesurer prcisment, ilest urgent de sentourer de prcautions : La plu-part des grandes entreprises et des administra-tions ont trs probablement dj t victimesdintrusions des fins despionnage , estime-t-il. Si la criminalit numrique (virus, attaquescontre des infrastructures, dtournement de don-nes bancaires...) provoque des dgts immdia-tement identifiables, une campagne despionnageest, par principe, invisible. Les outils utiliss parles cyberespions pour tout connatre de votre

La menace est diffuse, discrte, mais bien relle. La plupartdes administrations et des grandes entreprises ont dj t victimes

du cyberspionnage. Mais lheure de la mobilisation a sonn.

P. 34 Interview : Les entreprises doivent rompre la loi dusilence. Christian Harbulot, directeur de lEcole de guerreconomique, fait le point sur les lacunes hexagonales.

P. 36 PC de bureau :loignez les curieux de votre poste de travailUne fois log dans votre ordinateur, un logiciel espion

transmettra vos donnes son commanditaire.P. 39 Imprimantes :mfiez-vous de leur mmoire dlphant.

Imprimer un document laisse des traces numriques. Et le

papier finit souvent dans des corbeilles accessibles tous.

P. 40 Mobiles :ne laissez jamais traner votre smartphone !Ecouter vos conversations ou lire vos courriels est la

porte de nimporte quel apprenti espion.

P. 42 Rseaux Wi-Fi :sachez reprer les hotspots bidons. Besoinde vous connecter en dplacement ? La prudence simpose

SOMMAIRE

01B_2164_034_037_DOSSIER 4 OUV.indd 32 04/04/13


2/12

WWW.01 BUSINESS.COM .33

Christian Harbulot,

le directeur de lEcole

de guerre conomique,

invite les entreprises

franaises la vigilance

face au vol dinformations.



3/12

34. 01 BUSINESS

Dossier

Les entreprises doiven

Christian Harbulot estle directeur de lEcolede guerre conomi-que (EGE) quil afonde en 1997 avec

le gnral Jean Pichot-Duclos.Chaque anne, ltablissement formeune centaine dexperts en intelligenceconomique. Elev en 2008 au grade delieutenant-colonel de rserve, cet ex-pert, auteur de nombreux ouvrages (Ilnous faut des espions, La Main invisibledes puissances ou Le Manuel de lintel-

ligence conomique) fut en 1994 lundes principaux contributeurs au rap-port Martre qui a pos les bases de lin-telligence conomique franaise. Pour01 Business, il fait le point sur les mesuresque doivent prendre les entreprises fran-aises afin de garantir leur scurit.

Le phnomne du cyberespionnage

est-il aujourdhui exagr?

CHRISTIAN HARBULOT :Non, je dirai mmequil est sous-valu. Nous nous trou-vons confronts une monte en puis-sance sans prcdent de la criminalit

informatique. Lapparition de nouveauxoutils numriques, comme les smart-phones ou les rseaux sociaux, multiplieles failles potentielles. Le vol dinforma-tions est de plus en plus facile et, surtout,de moins en moins risqu. Sait-on pourautant mesurer prcisment le niveaurel du cyberespionnage ? Non, malheu-reusement, car les entreprises, et particu-lirement les PME, nont pas consciencede ces risques. Beaucoup dentre ellesignorent mme tout simplement quellessont observes.

Dans les affaires rcentes de cyber-

espionnage, la Chine a souvent tpointe du doigt. Est-ce une ralit ?

CH :Il est vident que les Chinois ne sontpas larme au pied en matire de cyber-guerre et de cyberespionnage. Oui, lem-pire du Milieu est une menace, mais pre-nons garde ne pas la diaboliser tropvite. En matire dintelligence cono-mique, il est toujours difficile de prou-ver qui fait quoi. En revanche, ce qui estcertain, cest que nous sommes dsor-

mais plongs dans une conomiemondiale tourmente avec deschocs concurrentiels de plus enplus durs. Les menaces sont par-tout. Lespionnage est dailleursquelquefois pratiqu par des en-

treprises franaises contre dautres entre-prises franaises.

La France est-elle bien arme

pour se protger ?

CH :Regardons les choses en face, noussommes fragiles. Cest dj vrai au ni-

veau de lappareil dEtat, alors je ne vousparle mme pas des entreprises. Certes,les pouvoirs publics ont fait des effortsavec la cration, en 2008, de lAnssi(Agence nationale de la scurit des sys-tmes dinformation). Mais les moyensfinanciers et humains de lagence restentaujourdhui deux fois infrieurs ceuxde son quivalent allemand. LAnssi sefocalise donc sur quelques priorits stra-tgiques et ralise, au coup par coup, desactions de sensibilisation auprs des so-cits. Cela reste insuffisant. Si lon en-tend peu parler des problmes, cest quil

existe dans les entreprises, soucieuses deprserver leur rputation auprs de leursclients, une tradition de loi du silence. Lasituation nest pas diffrente dans lesadministrations.

Comment expliquez-vous

une aussi faible mobilisation

face au cyberespionnage?

CH :Les raisons sont multiples. La pre-mire est quil ny a pas encore eu defaits marquants de cyberespionnage,comme le crash dun avion, qui au-rait pu frapper les esprits. Ensuite, il ya longtemps eu dans lHexagone unvide juridique concernant lespionnageconomique. Pour beaucoup de juges,lespionnage ne peut tre que militaire.Il est donc difficile pour une entreprisedaller devant les tribunaux pour ce typedaffaire. Une autre inconnue concernele rle qui incombe aux agences gouver-nementales de surveillance (DGSE, Ans-si...). Doivent-elles tout surveiller ? Et sioui, sont-elles tenues de prvenir quandelles constatent des activits de cybe-

activit sont de plus en plus discrets etcomplexes , explique Nicolas Caproni,expert en scurit du cabinet BSSI.

O les trouvent-ils ? Les diteurs sp-cialiss dans la conception de logicielsdintrusion, tels que lAmricain Ne-tragard ou le Franais Vupen, ne cdentleurs trouvailles officiellement qudes gouvernements ou de grandes or-ganisations. Mais il existe un march pa-rallle trs structur. Sur Internet, desplaces de march clandestines mettenten concurrence des dizaines de hackers

indpendants qui y coulent leurs trou-vailles, tels ces programmes mouchardssautodtruisant aprs un certain dlai.Selon le laboratoire de virologie et de

cryptologie op-rationnelles delcole ding-nieurs Esiea, lecot dun codemalicieux a tdivis par cinqdepuis 2004. Il se

situerait dans une fourchette de 20 000 250 000 dollars. Une mise vite rentabi-

lise dans le cas dun piratage de brevetou de lobtention dun appel doffres.Douce illusion.Pourtant, rares sont les en-treprises ayant vraiment pris consciencedu danger. Les dirigeants estiment sou-vent que seules les activits stratgiques(militaire, arospatiale...) sont menaces. Cest une illusion, affirme Nicolas Ca-proni. Toutes les socits peuvent trevictimes de cyberespionnage, et en par-ticulier les PME innovantes qui consti-tuent des cibles trs intressantes pourdes Etats trangers ou des concurrents. Mais on lignore, car lorsquune entre-prise dcouvre (le plus souvent par ha-sard) quelle a t pirate, la loi du si-lence lemporte , affirme ChristianHarbulot, le patron de lEcole de guerreconomique.

Dcouvrez dans notre dossier com-ment les pirates sapproprient vos infor-mations sensibles et quelles prcautionsprendre pour leur compliquer la tche.Inquitant ? Dites-vous, comme AndyGrove, le fondateur dIntel, que seuls lesparanoaques survivent... DIDIER GNEAU

Les PMEinnovantesconstituent

des cibles trsprises



4/12

La modedu BYODpeut fairedes ravages


briser la loi du silence

RAPHAELDEMARETPOUR

01BUSINESS

-VINCENTISORE/IP3

respionnage ? Lorsquil sagit dactivi-ts stratgiques pour les intrts vitauxfranais, la rponse est vidente. Maisque faire quand cela concerne dautressecteurs dactivit ? Il convient de dfinirun champ lgal dobservation. La ques-tion nest pas anodine, loin de l.

Vous voquez galement

un problme culturel

dans les entreprises...

CH :En effet. On observe undni des risques lis au voldinformations. Les pro-cdures de scurit sontperues comme dgradant le confortdutilisation des communications oudes rseaux. Dire quelquun de pro-tger son poste de travail par un codede huit chiffres est vcu comme uneagression. On voque aussi souvent lescontraintes que cela fait peser sur la pro-ductivit et la comptitivit.

Quels sont, aujourdhui, les points

faibles numriques des entreprises?CH :Les nouveaux outils technos mlan-gent allgrement le personnel et le pro-fessionnel. Cela peut avoir des cons-quences catastrophiques. Il faut chercher dissocier ces deux aspects. En termes

de communications et deflux dinformations, int-grons le fait quune inter-ception est toujours pos-sible. Ainsi, si vous craignezdtre cout lors dun ren-dez-vous important, nhsi-tez pas retirer la puce de

votre mobile. Mettre toute linformationde lentreprise sur un terminal mobile re-prsente un autre danger. Quelles cons-quences si je perds mon portable ? Quelssont les moyens de rendre inactif ce ter-minal distance le plus vite possible ?Mme un simple carnet dadresses etun agenda complet dans un smartphone

sont des informations en or. A priori, siun boulanger se fait voler son agenda,les consquences seront minimes. Maislorsquon exerce de multiples activits,cela peut devenir trs pnalisant. Unjuste milieu est ncessaire entre paranoaet dsinvolture.

Que recommandez-vous

aux entreprises?

CH :Il est impratif quelles prennentconscience de la valeur du capital que re-prsentent leurs informations sensibles.Puis, quelles cherchent savoir quellesdonnes sont rendues publiques sur leursite Web ou sur les rseaux sociaux parles salaris. Reste enfin identifier lesmenaces venant de la concurrence et raliser un audit de leur systme dinfor-mation. Alors seulement, elles pourronttablir des rgles de bon sens en matirede scurit. PROPOS RECUEILLIS PAR

STPHANE BELLEC ET DIDIER GNEAU

QUI SONT LES

FLICS DU NET

Quatre organismes

publics veillent

au grain sur la Toile.

DCRI :la Directioncentrale du

renseignement

intrieur est

rattache au ministre

de lIntrieur.

Befti : la Brigade

denqutes surles fraudes aux

technologies de

linformation est

un service de la police

judiciaire de Paris.

OCLCTIC : lOffice

central de lutte

contre la criminalit

lie auxTIC est une

manation de la

police nationale.

IRCGN : lInstitut

de recherche

criminelle dpend

de la gendarmerie.

Les enquteurs

de lOCLCTIC

contribuent

lutter contre

la criminalit

informatique.



5/12

PC DE BUREAU

36. 01 BUSINESS

Dossier

Une fois log au sein de votre poste de travail, un mouchardtransmettra vos informations son commanditaireen toute discrtion. Voici comment protger vos donnesconfidentielles des regards indiscrets.

loignez les curieuxde votre ordinateur

Chez Nortel, cela aura durpresque dix ans ! Un pro-gramme malveillant im-plant dans les ordina-teurs de sept dirigeants asystmatiquement trans-

fr toutes les informations stratgiquesde lquipementier tlcoms canadien un concurrent, jamais officiellementidentifi. Rvle lan dernier, cette af-faire de cyberespionnage pourrait tre lacause des difficults de Nortel, jusqu safaillite en 2009. Plus rcemment, en jan-vier dernier, cest le New York Times qui

dbusquait un logiciel espion sur les PCde 53 de ses journalistes. Presque touscouvraient les sujets lis lAsie, et toutparticulirement la Chine.

Pour deux cas de piratage reconnus, cesont des milliers qui demeurent tus, oune sont jamais dcouverts. Lattaquecible de postes de travail informatiquesest devenue la voie royale de lespion-nage , explique Nicolas Caproni, experten scurit du cabinet BSSI. Opration-nels pendant des mois ou des annes, ra-rement dtects par les antivirus, les lo-

giciels espions sont de moins en moinschers. En fouillant sur les forums sp-cialiss du Web, il est ais dacheter desmalwares cls en main , assure lexpert.

Pour un cyberespion, la seule difficultmajeure est dimplanter ce mouchardchez sa victime. Une opration dlicate,qui repose souvent sur une vulnrabilithumaine. Il existe ainsi cinq mthodesprincipales pour piger des utilisateursimprudents ou crdules.

1Attention auxcourriels pigs Le courrier lectronique demeure lecanal le plus utilis , affirme GromeBillois, directeur du dpartement s-curit de Solucom. Quil sagisse dune-mail aguichant, destin attirer la per-sonne cible sur un site internet pig,ou dun document en pice jointe, conte-nant le code malicieux. Dans ce cas,une mthode rpandue consiste app-ter la victime en usurpant le nom dunresponsable des ressources humaines.Le message contient alors un fichier in-fect nomm politique salariale ou

primes , tmoigne ce spcialiste. Uneautre variante, plus sophistique, sap-puie sur la surveillance distance deschanges de courriels. Lastuce consistealors se faire passer pour lun des inter-locuteurs dans une discussion de travailcontenant un document rvis chaquetape, puis dinfecter la pice jointe. Unemthode quasi imparable, dont le mi-nistre des Finances a fait les frais il y

Comment la loi punit le cyberespionnageSur le papier, le vol dinforma-

tions, le recel et labus de

confiance sont svrement

sanctionns.

Infiltrer un systmedinformation : deux ansdemprisonnement et

30 000 damende (article

323-1 du code pnal).

Introduire des donnes dansun systme dinformation :cinq ans demprisonnement

et 75 000 damende

(article 323-3 du code pnal).

Usurper lidentit dequelquun(prendre unefausse identit sur le rseau

Facebook, se faire passer pour

un responsable informatique) :

un an demprisonnement et

15 000 damende (article

226-4-1 du code pnal).

Violer une correspondancelectronique:un an deprison et 45 000

damende (article

226-15 du code pnal).

Distribuer des quipementsmalveillants :de deux cinq ans de prison et de

30 000 75 000 damende

(article 323-3-1 du code pnal).

Vendre des donnes voles :cinq ans demprisonnement

et 375 000 damende

(article 321-1 du code pnal).

1 000LE NOMBRE DENTREPRISESFRANAISES ESPIONNES

PAR AN

01B_2165_036_38_DOS-Poste.indd 36 03/04/13


6/12


AARONG

OODMAN

a peu : en mars 2011, un PDF pig en-voy par e-mail un fonctionnaire deBercy a entran la contamination en cas-cade de 150 ordinateurs par un logicielconu pour siphonner des informationssur le G20. Ce mouchard a svi plusieursmois avant dtre dcouvert. Son crateurcourt toujours...

Il est possible de limiter les dgts dus ce type dattaques. Grome Billoisprconise linstallation sur les PC de bu-reau dun dispositif appel bac sable,qui sert ouvrir les pices jointes dansun espace isol du systme dexploitationdu poste de travail. Trend Micro, FireEyeou Damballa proposent notamment cetype de fonction.

2Reprez les faux amissur les rseaux sociauxA moins de dclencher une guerre diplo-matique, il est difficile de ne pas donnersuite une requte lectronique dun

collgue vous invitant rejoindre songroupe damis sur Facebook. Cest parce stratagme quun collaborateur de laprsidence de la Rpublique franaisesest fait piger au printemps 2012. Unpirate ayant usurp le profil Facebookdun autre fonctionnaire de lElyse a ra-pidement convaincu sa cible de tester, enavant-premire, une version exprimen-tale de lIntranet de la prsidence. Le lienindiqu dans le message conduisait de fait une fausse page Web, rplique exacte deloriginale. Ny voyant que du feu, la vic-time a innocemment tap son identifiantet son mot de passe. Le tour tait jou !

Une fois ces prcieuses informationsrcoltes, le cyberespion pouvait sansproblme accder au systme dinfor-mation de la prsidence. Il en a profitpour injecter un ver informatique faitmaison . Ne possdant pas de signaturereconnue, il tait indtectable par lanti-virus. Plus tard, lenqute a rvl que

ce code malveillant permettait de col-lecter des fichiers, de raliser des cap-tures dcran et dactiver le microphonede certains postes de travail. Si le piratena jamais t identifi, beaucoup dex-perts affirment que seuls les services se-crets amricains taient capables duneopration aussi raffine. Certes, les cy-berespions nont pas tous ce niveau tech-nique. Mais crer un faux profil Linke-din ou Viadeo pour soutirer quelquesinformations stratgiques dans le cadredchanges anodins est la porte denimporte qui.

3Refusez les cls USBtombes du cielLa technique, dj ancienne, est toujoursaussi efficace : quand des cls USB dehuit gigaoctets tranent le matin sur leparking de lentreprise, rares sont les sa-laris qui rsistent la tentation de lesramasser puis de les connecter pour en

Avant dintroduire un logiciel

malicieux dans une entreprise

ou de rcuprer des informa-

tions stratgiques auprs

dun collaborateur imprudent, les

cyberespions ont besoin deffectuer

une phase de reconnaissance afin

didentifier les maillons faibles de

lorganisation. Pour lenquteur priv

Fabien Franceschi, du cabinet EIA,

une analyse fine des profils Linkedin

ou Viadeo des salaris est une vritable

mine dor. Parmi les diffrents critres

passs au crible par ce spcialiste de

lintelligence conomique, on trouvelanciennet, les liens hirarchiques,

les volutions professionnelles...

Dans le cadre dune mission daudit de

scurit, ralise pour un cabinet de

consultants, le dtective avait remarqu

que les promotions taient majoritaire-

ment accordes lors de la premire et de

la quatrime anne de carrire. Les

salaris dus pouvaient devenir des

cibles prioritaires. Javais galement

observ que 42 % des consultants non

promus la premire anne quittaient

lentreprise. Un vivier idal dex-

employs exploiter.

La mthode desespions pour reprerles salaris bavards

Les cyberespionslont compris : lesPC des salaris sontdes proies faciles.

5 ansLA DURE PENDANT LAQUELLE LE VIRUS

RED OCTOBER A ESPIONNDES MILLIONS DORDINATEURS

30 eurosLE PRIX DUNE CL USB

QUIPE DUNLOGICIEL ESPION

01B_2165_036_38_DOS-Poste.indd 37 04/04/13


7/12

38. 01 BUSINESS

On ne sensibilise jamais assez les salarisaux risques de vols de donnes

Dossier

ISTOCK

Ne jetez plus vos vieux PC, dtruisez-les !

Sachez-le : le disque

dur dun poste

de travail jet la

poubelle est

une mine dor pour un

cyberespion ! Autant le

dire, un reformatage

du disque ne sert rien.

Mme si les donnes

semblent effaces, ce

nest quune apparence.

Elles restent en fait

toujours accessibles

physiquement viacertains outils. Des

moyens plus effi caces

existent. Le plus radical

consiste plaquer

un aimant sur le disque

dur. Cette mthode

a le mrite de casser les

pistes magntiques et de

les rendre dfinitivement

inutilisables. Toutefois,

en cas de revente ou de

don de PC, le logiciel

gratuit Ccleaner peut

se rvler utile. Son

fonctionnement est

simple : il va rcrire de

fausses informations sur

le disque en effectuant

plusieurs passages

(jusqu 35, sil le faut).

Le temps de lopration

dpendra du volume

initial de donnes, mais

cela peut durer une

dizaine dheures. Dans

le cas o lon veut se

dbarrasser de plusieurs

centaines dordinateurs

ou de disques durs,

mieux vaut faire appel

des socits spcialises

comme Kroll On-Track

ou Chronodisk.

Les disques durs nont pas la mmoire qui flanche.

lire le contenu. Erreur fatale ! Ce type decadeau tomb du ciel est rarement l parhasard. Elles contiennent souvent un lo-giciel espion qui va ainsi se loger dans leposte de travail de la victime sans quellesen rende compte.

Nathalie Risacher, responsable scuritchez Natixis America, a voulu prouverlan dernier la prudence des salaris desa banque. Nous avons sem dans noslocaux des cls USB contenant un fichierdapparence confidentielle de type sa-laires , raconte la jeune femme. Ds

quune delles tait utilise, un dispositifde supervision prvenait automatique-ment la responsable de louverture dufaux fichier. Les rsultats du test ont t siinquitants que Nathalie Risacher a fina-lement opt pour une interdiction gn-rale des priphriques de stockage USBsur tous les postes de travail. Aux grandsmaux, les grands remdes... Aujourdhui,la plupart des systmes dexploitationtiennent compte de cette faille. Ils savent

dsactiver lexcution automatique pardfaut des supports USB. Mais, l en-core, on ne sensibilise jamais assez lessalaris ce type de risque , ajoute G-rome Billois.

4Ne communiquez jamaisvos mots de passeEt si, pour obtenir les informations dunutilisateur, il suffisait tout simplement deles lui demander de vive voix ? Cest toutlenjeu du social engineering, une formedespionnage qui exploite les failles hu-

maines et non plus techniques. Larnaquetlphonique est une mthode prouve : Allo, ici le service informatique. Je voisquil y a eu une tentative dintrusion survotre compte. Je dois procder une ri-nitialisation de votre mot de passe. Pou-vez-vous me confirmer vos informations ? Oui, bien sr !

Un autre scnario consiste se fairepasser pour un utilisateur et faire croireau service informatique quon a oubli

son mot de passe. Nathalie Risacher amalheureusement pu constater que cettetechnique fonctionnait trs bien. Dansle but de rpertorier les vulnrabilitsde la banque Natixis, elle a appel sonpropre support technique et sest fait pas-ser pour une collaboratrice exigeant cetteopration. Ce qui lui a t accord sanssouci. Jai donc dcid de durcir la pro-cdure didentification du demandeur,en obligeant les techniciens se dplacerou rappeler la personne concerne surson mobile pour quelle sidentifie. Et je

vrifie au moins une fois par an que lesconsignes sont bien respectes , racontela responsable scurit.

5Surveillez laccs vos bureauxQuand les autres mthodes ont chou,le cyberespion a encore la possibilit depntrer dans lentreprise pour tenterdaccder physiquement au poste de tra-vail de la personne cible. Mme si ceprocd semble particulirement risqu,Fabien Franceschi, du cabinet de dtec-tives privs EIA, assure que cest un jeu

denfant. Ce spcialiste de lintelligenceconomique est rgulirement sollicitpar des socits afin de tester leurs pro-cdures de scurit et rentrer incognitodans leurs locaux.

Il suffit de se faire passer pourquelquun qui a quelque chose dimpor-tant faire, quil sagisse dune livraisonde fleurs, de pizzas ou dun dpannagequelconque, pour tromper les services degardiennage et russir se balader danstous les bureaux , assure Fabien Fran-ceschi. Afin de prouver quil a russi accder lordinateur dun salari, le d-tective va jusqu exfiltrer des donnes endupliquant des disques durs ou en bran-chant une cl USB 3G sur une machinepour en prendre le contrle distance.

Selon Fabien Franceschi, accrotre lascurit informatique passe donc gale-ment par un durcissement des modalitsdaccs aux locaux de lentreprise et unemeilleure sensibilisation des quipes degardiennage ce type de risques. L en-core, lhumain reste la meilleure dfensecontre les cyberespions. STPHANE BELLEC

01B_2165_036_38_DOS-Poste.indd 38 03/04/13


8/12


ISTOCK

Les imprimantes aussi ont un talon

dAchille : leur disque dur, qui

enregistre les documents produits.

Le chiffre est alarmant : 63 %des entreprises reconnais-sent avoir perdu des don-nes confidentielles causedune mauvaise gestion deleurs imprimantes, selon

une tude rcente mene par le cabinetQuorcica et lditeur Nuance. Pourtant,seules 22 % des socits europennesaffirment avoir scuris leurs systmesdimpression. Pourquoi une telle inertie ?

La quasi-majorit des responsablesscurit interrogs prtexte des chan-tiers plus prioritaires. Cest oublier quelorsque les messageries, les postes detravail et les terminaux mobiles ont tscuriss, les prcautions deviennentcaduques chaque fois quune informa-tion confidentielle ou sensible est im-prime, facilement rcuprable par descurieux malintentionns.

Pour la consultante Sharon Fisher,ancienne analyste de Gartner Group,cette ngligence est dautant plus dom-mageable que plus les priphriquesdimpression deviennent intelligents, plusils sont vulnrables . De fait, ces appa-reils multifonctions, capables dimpri-mer, de copier, de scanner et de faxer,sont dots de disques durs quienregistrent limage des docu-ments produits. Pour le chan-ceux qui mettrait la main surlun de ces supports de stoc-kage, cest lassurance de r-cuprer un beau paquet din-formations exclusives.

Autre point faible technique de cesimprimantes : leur connexion au rseaudentreprise, pas toujours suffisammentscurise. Lors daudits, on arrive par-fois accder des imprimantes den-

treprise grce une simple recherchesur Google , assure lexpert NicolasCaproni, du cabinet BSSI. Pour le cybe-respion, cest une porte dentre idale.Lorsquil ne peut voir que le nom desdocuments en attente dimpression, lesconsquences restent minimes. Maisquand une faille de scurit permet decharger les documents imprims, commecest arriv lan dernier avec des modlesSamsung, cela devient critique. En no-vembre 2011, deux chercheurs de luni-versit de Columbia avaient dj mis

jour une faille sur les laserjet de HP don-nant un accs au rseau dentreprise. Untype de vulnrabilits dautant plus cri-tique que les logiciels de scurit nanaly-sent que rarement les imprimantes.Pche miraculeuse. La parade est tech-nique, et ncessite au moins linstallationdun pare-feu ainsi quun suivi rgulierdes mises jour du firmware, le logicielinterne de limprimante. Il faut galementveiller tablir une procdure stricte lorsdu changement de matriel dimpression,mme si celui-ci est en location, en pre-nant soin deffacer son disque dur.

Si limprimante est correctement scu-rise, le cyberespion naura alors dautrechoix que de se rabattre sur... le papier !Sil parvient entrer dans les locaux delentreprise, la pche peut tre fructueuse.Selon Canon et linstitut BVA, 20 % dessalaris franais ont dj trouv des do-cuments confidentiels dans le bac desimprimantes. Recourir un systme decarte avec code PIN pour rcuprer sesimpressions vite quelles ne sempilentet tombent entre de mauvaises mains ,recommande Grome Billois, directeur

du dpartement scurit du ca-binet de conseil Solucom.

Demeure encore un risque :la fouille des poubelles. Dansune enqute de 2008, le Cr-doc avait rvl que deuxtiers des poubelles dun chan-tillon de 200 entreprises fran-

ciliennes contenaient au moins un docu-ment confidentiel. L encore, la solutionest technique, mais pas informatique : unbon vieux broyeur de documents peut servler trs efficace ! JEAN-MARC GIMENEZ

Certainesimprimantessont

accessibles

par Google

IMPRIMANTES

Les paroles senvolent, les crits restent. Imprimer undocument peut avoir des consquences insouponnes. Etsi le papier reprsentait la premire des failles de scurit ?

Mfiez-vous de leurmmoire dlphant

01B_2165_039_DOS Imprimante.indd 39 03/04/13


9/12

Le BYOD dmultiplie les risques

Dans 80 % des

entreprises

amricaines et

europennes,

les salaris utilisent au

bureau du matriel

informatique personnel,

selon une tude deForrester. Cette dernire

montre aussi que ce

phnomne baptis

BYOD (Bring Your Own

Device) crot denviron

30 % par an. En 2017, il

devrait concerner environ

905 millions de termi-

naux. Les nombreux

points daccs au systme

dinformation sont autant

de vulnrabilits

exploiter pour les hackers.

Des chiffres ont t

communiqus par

lditeur Trend Micro, et

relays par lInstitut

national des hautes

tudes de la scurit et de

la justice (INHESJ). Ils ont

rvl quentre 2007 et

2012, la prolifration des

iPhone, iPad et mobiles

Android connects au

systme dinformation

des entreprises a

engendr une augmen-

tation de 35 % du nombre

dattaques par Internet

et de 12 % du piratage

par courriels.

Plus de

900 millions

de terminaux

personnels

seront utiliss

au travail

en 2017.

40. 01 BUSINESS

Dossier

S

ortir son smartphone de sapoche pendant un conseildadministration, le mettre

en mode silencieux et leposer sur la table... Voiciun geste bien anodin quine semble gure prter

consquence. Erreur ! Si lappareil a tpralablement pig, son micro sactiveet capte la conversation sans que per-sonne ne sen rende compte. Le mobile alair inactif. Pourtant, des centaines dekilomtres de l, des oreilles indiscrtescoutent tout ce qui se dit.

Ce scnario ne relve en rien de lascience-fiction. Il existe aujourdhui unemultitude de technologies permettant

despionner des personnes par linterm-diaire de leur tlphone, mais aussi de si-phonner les contenus qui y sont stocks.

Certains de ces logiciels, dits dcouteenvironnementale, sinstallent directe-ment sur lappareil. Selon Symantec, ces

outils reprsenteraient plus de la moi-ti des applications malveillantes ac-tives sur mobile. Une simple recherchesur Google, avec les mots cls espion-nage et smartphone , permet de d-couvrir quelques-uns dentre eux la plu-part, videmment, illgaux en France ,parmi lesquelles vip13-Pro, Omegaspy,MB-Pro, Copy9, Spybubble ou encoreGSMespion.

Le descriptif de leurs fonctions est sansquivoque : activation du microphone,interception discrte des courriers lec-troniques, des SMS et des messages ins-

tantans Blackberry Messenger, Whats-App et Skype, accs aux contacts, auxnotes... Le plus surprenant, cest que ces

logiciels mouchards sont la porte detoutes les bourses : leurs prix oscillententre zro et quelques centaines deu-ros. Beaucoup dacheteurs se les procu-rent pour des raisons personnelles, afindpier un conjoint ou un enfant diffi-cile. Mais les occasions de les utiliser dansune optique de cyberespionnage ne man-quent pas, ds lors que lon a franchi leprincipal obstacle : trouver le moyen deprendre en mains quelques minutes le

smartphone de la personne cible pour yinstaller le logiciel.

Les mouchards sontquasi indtectables

Il existe des outils despionnage plus vo-lus, camoufls en application inoffensive(jeu, outil de productivit...). Dans lim-mense majorit des cas, cest lutilisa-teur qui linstalle lui-mme, aprs avoirreu un mail incitatif envoy par le pirate. Les actions de ce type dapplis sont invi-

sibles et il est trs difficile de les dtecter,raconte Chadi Hantouche, expert scu-rit chez Solucom. Cependant, certainssignes, telle la consommation excessivede la batterie du tlphone, doivent aler-ter le possesseur du mobile.

Sils sont confronts des utilisateurssensibiliss ces dangers, les cyberes-pions auront du mal implanter ce typede mouchard. Les plus chevronns setournent alors vers du matriel inconnudu commun des mortels, comme le sys-tme IMSI (International Mobile Subs-criber Identity) Catcher. Cet appareil, quitient dans un sac dos, se substitue auxantennes-relais des oprateurs mobiles etcapte les communications tlphoniquesenvironnantes. En thorie, lutilisationde cette technologie, soumise une l-gislation stricte, est rserve aux agencesde renseignements gouvernementales.Toutefois, ce systme sacquiert au mar-ch noir pour moins de 1 000 euros.

Selon le cabinet Lexsi, spcialis enscurit informatique, les entreprisesqui souhaitent se protger doivent re-

MOBILESNe laissez jamais

traner votre smartphone !Les logiciels espions se trouvent facilement sur la Toile

et peuvent tre glisss votre insu dans votre tlphone.

Pour garder confidentiels vos communications, courriers

lectroniques et fichiers, la plus grande prudence simpose.

01B_2165_040_041_DOSmobiles.indd 40 03/04/13


10/12


ISTOCK

-MAXPPP

courir des solutions de chiffrement descommunications GSM . Avec un imp-ratif : Que lapplication soit installesur les mobiles de tous les interlocuteurs,sans exception. Cette contrainte rduitalors le primtre de protection aux seulssalaris de lentreprise et aux partenairesvolontaires pour utiliser le mme sys-tme de chiffrement. Cellcrypt, Ercom,ou encore Teopad, commercialisent detels logiciels de chiffrement des commu-nications tlphoniques.

Enfin, dfaut dcouter les conversa-tions, une personne malintentionne atoujours la possibilit de rcuprer lesinformations contenues dans lappareilen le subtilisant. En 2011, 70 millionsde smartphones ont t perdus ou volsdans le monde, rvle le fournisseur in-formatique Kensington. Seuls 7 % dentreeux ont retrouv leur propritaire. En d-cembre dernier, la Direction centrale du

renseignement intrieur franais (DCRI)a dmontr, lors dun congrs du Clubdes directeurs de scurit des entreprises(CDSE), quun smartphone vol larra-ch pouvait tre vid de toutes ses don-nes en moins dune heure. Une opra-tion ralisable avec un logiciel capablede casser le code de verrouillage et dex-traire les informations de lappareil, auprix de quelques centaines deuros.

Les entreprises nese projettent pas assez

Selon la DCRI, il est donc urgent que lesentreprises franaises scurisent davan-tage leur parc de tlphones mobiles.Lan dernier, une tude du Club de la s-curit de linformation franais (Clusif) aainsi rvl que deux tiers des socitsde plus de 200 salaris nutilisaient pas

dantivirus sur leurs terminaux nomades.De mme, trois organisations sur quatrene chiffrent pas les donnes inscrites surleurs quipements mobiles. Cest unvrai problme, particulirement avecles modles Android , estime RenaudBidou, directeur technique de lditeurDenyAll. En effet, les applis qui fonction-nent sous ce systme dexploitation sontmoins contrles que celles pour iPhone.

La solution adopter en priorit ? Uneconsole de gestion des terminaux et desapplications mobiles. Les DSI peuventainsi grer distance les applis installessur leurs flottes de mobiles et procderautomatiquement aux mises jour lo-gicielles. Mais ces consoles ont un autreavantage : elles sont capables deffacer distance tout le contenu dun smartphoneperdu ou vol. Une intervention prati-quer systmatiquement ds quun mobileest port disparu. EDDYE DIBBAR

UNE HEURE SUFFIT

POUR SIPHONNER

UN SMARTPHONE

10h10 10 h 11 10 h 21

11 h 01 11h05

Une fois la carte SIMretire,lappareil ne peut plus tre

dtect par loprateur.Ilnest plus possible

non plus den effacerle

contenu distance.

Attaqu

parunlogiciel

spcialis, lecode

deverrouillage,

contenant seulement

quatrechiffres,

cderapidement.

Silemobileatsubtilisfurtivement,

lespionpeutlereplacerdanslapochedelavictime,quinyaura

vuquedufeu.

Lavictime

se fait

subtiliser son

tlphonemobile

sansmme sen

rendrecompte.

Trente quarante minutessuffi sent pour sapproprier

toutes les donnesstockes sur le mobile.

Le temps de casserles mots de passe daccs

aux applications avantde copier les informations.

01B_2165_040_041_DOSmobiles.indd 41 03/04/13


11/12

42. 01 BUSINESS

Dossier

Pour prs de neuf person-

nes sur dix, le Wi-Fi estle mode de connexionprfr pour surfer surInternet en situation demobilit. Trouver un r-seau disponible est le

premier rflexe des cadres en voyagedaffaires. Pour 88 % dentre eux, cestmme aussi vital que leau ou llectri-cit, selon une tude iPass ! Mais cestparfois un casse-tte. Dans son dernierrapport, ce spcialiste de la mobilitmontre que la moiti des profession-nels nomades prouvent des difficults

trouver un accs Wi-Fi pu-blic. La tentation est alorsgrande de se connecter aupremier hotspot affichantau moins trois barrettes, etnon protg par un mot depasse. Cest l que les en-nuis commencent.

Car savez-vous vrai-ment qui se cache der-rire ? Les faux hotspotssont une menace rpan-due. Lorsque vous effec-tuez une recherche desrseaux accessibles dansun lieu public, un aroportou un caf, ils sont classspar force du signal. M-fiez-vous alors des bornesintitules Wi-Fi gratuit ,ou portant le nom du lieuo vous vous trouvez sil

nest pas prcd dun cadenas. Il peutsagir dun appt, mme si la page deconnexion qui souvre aprs lavoir choi-si semble des plus lgitimes.

En effet, rien nest plus facile pour un

pirate que de contrefaire un rseau. Il luisuffit de connecter un routeur USB Wi-Fi 3G que lon peut se procurer pourquelques dizaines deuros sur nimportequel site marchand un PC portable.Lavantage (ou linconvnient) de ce typede botier est quil supporte plusieursconnexions simultanes.

Ainsi quip, un fraudeur install quelques mtres de vous est capabledenregistrer le trafic Wi-Fi de touteune salle. Et il est en mesure de drobervos identifiants et vos mots de passe deconnexion au rseau de votre entreprise,

votre compte de messagerie, votrebanque, etc. Le sujet de ces faux hots-pots revient trs souvent dans les conf-rences de scurit. Pourtant, il faut re-connatre quils ne sont pas trs courantsdans les lieux publics , nuancent RmiChauchat et Julien Reveret, consultantset formateurs en scurit Wi-Fi au seindu cabinet HSC. Le problme, cest quilspourraient bien le devenir.

Mme un amateurpeut usurper un rseau

Car depuis quelque temps, un simplesmartphone suffit pour monter un fauxrseau, en utilisant une technique la porte de nimporte quel amateur.Lan dernier, une application pour tl-phone Android, opportunment appe-le Fake Hotspot, a fait son apparitionsur la boutique en ligne Google Play auprix trs attractif de 0,99 euro. Elle per-mettait de simuler les hotspots commu-nautaires des oprateurs Free, Bouygues

Telecom et SFR. Et fournissait ainsi lemoyen de rcuprer les identifiants deconnexion des abonns et dusurperensuite leur identit. La seule limite decette appli : elle ne peut accepter plus dedeux connexions simultanes. Il a falluquelques semaines Google pour reti-rer ce logiciel litigieux de sa boutiqueen ligne. Mais tout internaute un peucurieux la retrouve facilement sur dessites spcialiss. Do la mise en gardedeRmi Chauchat et Julien Reveret : Tout le monde doit garder l espritquun appareil nomade connect unrseau sans fil public nest pas sr.

Lavertissement est dautant plus ju-dicieux quune autre menace plane surles utilisateurs de Wi-Fi, connects cettefois de vrais hotspots : le sniffing (re-niflement, en franais). Cette techniquede piratageconsiste couter le trafic laide dun matriel spcialis, voire dunsimple ordinateur portable convenable-

Les aroports

figurent parmi les

lieux de prdilection

des pirates.

LE WI-FIEN CHIFFRES

46 %du trafic transitera en

Wi-Fi en 2015. (IPASS)

5,8 millionsde bornes Wi-Fi public

dans le monde en 2015.

(INFORMA)

36 %des appareils

connects aux hotspots

publics sont des

smartphones. (INFORMA)

88 %des professionnels

nomades jugent

lInternet mobile vital.

(IPASS)

RSEAUX WI-FI

Besoin de vous connecter au cours dun dplacement ?

La prudence simpose. Car il est facile de se laisser abuser par

un rseau contrefait et de livrer ses donnes un indiscret.

Sachez reprerles hotspots bidons

01B_2165_042_043_DOSS WIFI.indd 42 03/04/13


12/12


ISTOCKPHOTO

ment configur. Le cyberespion com-mence par tout enregistrer, mme lesdonnes chiffres. Puis, une fois rentrchez lui, il a le temps de les dcrypter, condition dtre quip dun matrielde pointe. La mthode est sophisti-que, mais elle est la porte de toutepersonne qui sy intresse. Il est facilede trouver des informations sur Internetpour la mettre en uvre , soulignentRmi Chauchat et Julien Reveret.

Airtight Networks, une socit am-ricaine qui commercialise des solutionsde Wi-Fi scurises, a fait la dmonstra-tion pour CNN des ravages du sniffing laroport dHeathrow (Londres). Avecun PC portable et un simple logiciel desniffing tlcharg sur Internet, tous lesdtails des changes alentour, non s-curiss, taient alors apparus en clair lcran. Personne nest labri, dautantque lors dune tude sur la vulnrabilitdu Wi-Fi, le mme Airtight Networks a

constat quen moyenne, 59 % des uti-lisateurs de hotspots Wi-Fi dans les aro-ports passent par des connexions Inter-net non scurises.

Le rseau priv virtuel,une parade efficace

Face ces menaces, la prcaution debase en situation nomade consiste sur-fer uniquement sur des sites crypts aumoyen du protocole scuris HTTPS.Pour la plupart des usages, ce nest pasune contrainte, puisquil est adopt pardes sites et des services Internet tels queFacebook, Twitter, Gmail, Outlook.com,Google Drive, Skydrive ou encore Pay-pal. Mais la meilleure parade reste le r-seau priv virtuel (ou VPN, pour VirtualPrivate Network). Ce logiciel interm-diaire, mis en place par lentreprise pourassurer les changes avec elle, sintercale

entre vous et son rseau afin den assurerla confidentialit. Les communicationsentre le PC connect un hotspot Wi-Fipublic et le serveur VPN de lentreprisesont chiffres, rendant ainsi quasi inex-ploitables les donnes ventuellementrcupres par sniffing. Pour beaucoupdentreprises, le VPN est dj entr dansles murs, explique-t-on chez HSC.

Mais encore faut-il que les salaris encomprennent lintrt et quils ne cher-chent pas, par confort ou par paresse, le contourner. Il demeure donc indispen-sable de sensibiliser rgulirement lescollaborateurs nomades aux questionsde scurit, par le biais doutils pdago-giques comme des courriels internes r-guliers ou des campagnes de posters af-ficher dans les locaux. Car il suffit quuneseule personne baisse la garde une foispour que schappent dans la nature lesinformations les plus sensibles.

JEAN-MARC GIMENEZ

1TROMPEZ-VOUS DIDENTIFIANT

Lorsque vous vous connectez un hotspot

Wi-Fi, saisissez de fausses donnes la premirefois. Sil sagit dun pont daccs pirate,

il ne relvera pas lerreur. Et vous, vous saurez

quil faut vous mfier.

2VRIFIEZ LE NOM DU RSEAU

Dans un lieu public, demandez un

responsable la confirmation de lidentifiant

exact du hotspot officiel du lieu (SSID).

3SURFEZ EN MODE HTTPS

Vrifiez que, dans votre navigateur Internet,

ladresse de la page dauthentification ou de

connexion un hotspot public dbute bien par

HTTPS (et non par HTTP). Un cadenas saffiche

alors en bas de la fentre ou ct de ladresse.

4EVITEZ LES SITES SENSIBLES

Sur un hotspot Wi-Fi public, ne vous

connectez pas avec vos identifiants personnels

un site dentreprise non scuris, une

banque ou des sites au contenu sensible

requrant des informations professionnelles ou

personnelles (le site des impts, par exemple);

5PRIVILGIEZ LA 3G

Avec un smartphone ou une tablette pro,

optez pour les connexions 3G. Sur un portable,

dsactivez le partage de fichiers. Annulez

les connexions automatiques et dsactivez

le Wi-Fi si vous ne vous en servez pas.

Cinq conseils pourminimiser les risques

01B_2165_042_043_DOSS WIFI.indd 43 03/04/13

Documents

Gare aux espions ! Tout ce que vous devez savoir pour protéger vos informations sensibles