Économie

La sécurité informatique: pourquoi jouer avec le feu ?

Lorsque Revenu Canada ne peut recevoir les déclarations d’impôts des citoyens par Internet, nous nous rendons compte à quel point l’ordinateur est omniprésent, à la maison, au travail, à l’école, dans les commerces ainsi qu’au gouvernement, et qu’à force de compter sur lui, beaucoup sont totalement désemparés lorsque survient une attaque et que la bête ronronnante et rassurante affiche soudainement un écran noir. La sécurité ? Nous sommes tous pour, comme nous sommes en faveur de la tarte aux pommes. Mais qui s’en préoccupe vraiment ?

 

À force de côtoyer l’ordinateur personnel et, aujourd’hui, le réseau Internet, on finit par oublier leur présence. L’encyclopédie Wikipedia décrit un système informatique comme « tout système dont le fonctionnement fait appel, d’une façon ou d’une autre, à l’électricité et qui est destiné à élaborer, traiter, stocker, acheminer ou présenter de l’information ». Donc, un système faillible, que l’on peut attaquer d’une façon ou d’une autre afin de le rendre inopérant. À moins que les intentions soient encore plus malveillantes et que l’on tente d’y dérober des données, d’y héberger des fichiers illégaux, comme des logiciels pirates, ou de s’en servir comme base relais afin d’attaquer un plus gros système…

            Depuis les années 1970, avec la mise en marché des premiers ordinateurs personnels, l’accès instantané aux informations, la rapidité et l’efficacité des traitements, le partage de données et l’interactivité ont augmenté de façon considérable. Le nombre de pannes, d’incidents, d’erreurs, d’actes de négligence et, surtout, de cas de malveillance a augmenté avec l’arrivée du réseau Internet et son accessibilité à tous. Aujourd’hui, un ordinateur branché à Internet est menacé, dès les premières minutes de sa mise en route, par de multiples dangers.

            Combien de fois avons-nous entendu parler d’attaques virales si agressives qu’elles peuvent ralentir considérablement le trafic et les échanges de données sur le réseau Internet lui-même ? Pourtant, nous n’avons encore rien vu : les réseaux sans fil, qui se multiplient, sont trop souvent ouverts à tous les vents, permettant à quiconque de s’y brancher et de se payer une visite non autorisée dans les ordinateurs qui y sont reliés. Par ailleurs, la téléphonie IP risque d’être le prochain champ de bataille des pirates et des fraudeurs de tout acabit.

            Dans ce monde informatique cruel et insensible, trois conseils de base pour survivre : s’informer, consulter un véritable spécialiste de la sécurité et, surtout, se protéger.

Entreprises : la guerre moderne

            Avec l’arrivée des médias électroniques a débuté une nouvelle forme de guerre, qui connaîtra son apogée au cours des prochaines années : la guerre de l’information. Le fait de chercher à s’informer est certes inhérent à l’être humain. Toutefois, les nouvelles technologies ont accéléré le rythme et l’ampleur de cette quête au point que la matière première de l’activité humaine est aujourd’hui l’information.

            Presque tous les pays du monde possèdent leurs systèmes officiels (et surtout occultes) de renseignement. Qui n’a entendu parler du MITI au Japon ou de cet espion russe récemment pris sur le fait à Montréal ? Il est impératif de savoir avant l’autre, d’empêcher l’autre de savoir et, à tout moment, de pratiquer la désinformation afin que le pays – ami ou ennemi – auquel on aura donné une fausse information sous couvert d’authenticité prenne la « bonne » décision.

            Si l’information est dorénavant le nouvel enjeu, les chars et les avions ont été remplacés par de nouvelles armes plus terrifiantes et, surtout, plus sûrement efficaces : les ordinateurs. Aux commandes de ces armes de guerre, des pilotes que l’on appelle « hackers » ou « pirates ». En informatique, il n’existe aucune pitié face à un adversaire plus faible : c’est avec insensibilité et froideur que ces guerriers du virtuel attaqueront votre réseau, vos serveurs, votre infrastructure informatique. Pour les anéantir, pour détruire vos données ou encore, pour y espionner et subtiliser les secrets de votre entreprise.

            Selon un rapport du Websense Security Labs, un grand nombre des attaques informatiques ciblent  les entreprises commerciales et leur clientèle, et une grande partie d’entre elles visent à détourner de l’argent. Les délinquants informatiques ne cessent de faire preuve de créativité afin de poser des gestes criminels sans être inquiétés. Les extorsions en tout genre ne cessent de se multiplier, tout comme les tentatives de prise de contrôle d’ordinateurs au moyen de logiciels espions.

            Les prévisions pour les prochains mois ne sont guère rassurantes. Selon le bulletin de l’Institut pour la sécurité de l’information, qui cite le rapport du Websense Security Labs, « au cours du semestre en cours, on prévoit une utilisation accrue des sites de réseaux sociaux (myspace.com, réseaux P2P, etc.), qui relient des milliers d’utilisateurs. Les cybercriminels peuvent y attaquer de nombreux utilisateurs par l’intermédiaire d’un site Internet. La multiplication des applications intégrées aux navigateurs transformera Internet en une plateforme d’applications, ce qui suscitera une plus grande vulnérabilité et ouvrira la porte à de nouveaux problèmes de sécurité. »

            Par ailleurs, « l’entreposage de données personnelles dans le cyberespace et le nombre croissant de transactions de biens et services qui se feront sur le Web multiplieront les enjeux de confidentialité et de protection de données commerciales sur Internet. Les risques de fuites augmenteront et, comme les particuliers auront tendance à entreposer des documents personnels autant que des données commerciales, les dangers seront aussi très importants pour les entreprises. »

            Encore plus inquiétante, l’étude Global State of Information Security 2006 révèle qu’à peine 37 % des gestionnaires en technologies de l’information ont conçu et mis en place une stratégie globale de sécurité au sein de leur entreprise. En matière de sécurité, la grande majorité d’entre eux adoptent une attitude plus réactive que proactive : seul un incident sérieux leur rappelle que la sécurité informatique de leur infrastructure fait défaut. Un maigre 28 % – soit à peine plus d’une organisation sur quatre – « disposent d’un plan pour communiquer leurs incidents de sécurité à leurs partenaires et fournisseurs. »

            En sécurité informatique, il est un fait qui se confirme toujours : une chaîne de sécurité n´a de force que celle de son maillon le plus faible. Et en entreprise, le maillon faible de la chaîne de sécurité, c’est indéniablement l´utilisateur. Le courriel, la navigation Internet, les messageries instantanées, ou tout bêtement un mot de passe exposé à la vue de tous, collègues de travail comme visiteurs, sont autant de portes d’entrée qu’il convient de sécuriser à l’aide de bonnes pratiques et d’une formation soutenue.

Particuliers : de simples réflexes

            Depuis qu’il « pratique » ce sport extrême qu’est l’informatique personnelle, après l’achat, en 1977, de son premier ordinateur, l’auteur de ces lignes a rarement vu des utilisateurs d’ordinateurs se préoccuper de sécurité.

            Il ne compte plus le nombre d’appels reçus ou de courriels désespérés envoyés par un pauvre lecteur (ou ami, ou parent) victime d’un virus particulièrement malfaisant. Et à quoi doit-on s’attendre ? À la perte totale ou partielle de données trop souvent conservées uniquement à un seul endroit : le disque dur de l’ordinateur.

            Pourtant, depuis que le journalisme technologique existe, tous ses scribes, sans exception, ont insisté régulièrement et fortement sur l’obligation de sécuriser son ordinateur. Logiciels antivirus, murs coupe-feu, éradicateurs de logiciels espions, destructeurs de pourriels, outils de vérification et de sécurisation du réseau sans fil, on ne compte plus les solutions offertes aux consommateurs afin qu’ils se protégent contre les dangers informatiques.

            Et en cette fin d’année 2006, que disent les dernières études sur la question ? Les rapports de Symantec et de l’APACS (Association of Payment and Clearing Services) font état qu’à peine 50 % des internautes mettent régulièrement à jour leur logiciel antivirus. Et il y a pire : l’installation de logiciels de sécurité serait loin d’être la norme ! Ainsi, plus de 60 % des internautes ne disposent pas d’un mur coupe-feu (firewall), et ce, malgré le fait que Windows XP, le Mac OS X et Linux en possèdent tous un de base, livré avec le modèle standard et ne demandant qu’à être activé. Plus de 60 % ! Le lecteur au fait des enjeux de sécurité comprendra que nous hésitions à lui révéler que 10 % seulement des utilisateurs auraient recours à un logiciel anti-pourriels !

            Pendant ce temps, 3,8 % des personnes interrogées pour le compte de ces études continueraient à répondre aveuglément à des pourriels les invitant à valider leurs données bancaires en entrant leur code d’accès et leur mot de passe. Parlez-en aux internautes qui voient leur compte en banque se vider et qui se font refuser un remboursement par leurs institutions bancaires sous prétexte qu’ils ont donné à une tierce partie leurs codes d’accès alors que la convention entre le client et sa banque l’interdit ! Cela représente des centaines de millions de dollars… et bien des pleurs. Et ces études ne font pas état de la fraude dite « nigérienne », pratique qui consiste à envoyer par courriel un texte sollicitant les internautes à servir d’intermédiaires à une jeune veuve éplorée dans un transfert d’argent effectué contre une commission.

            Bref, à la lecture de ces propos, on constate que certaines pratiques, comme l’hameçonnage et la fraude par courriel, ont de bien beaux jours devant elles. Mais attention : là où prennent fin les dangers du courriel débutent ceux provenant des applications Web. Selon la société Symantec, sur 2 249 points de vulnérabilité recensés, 69 % concernent des applications et services Web, un service Web étant un ensemble de protocoles et de normes informatiques (par exemple XML ou SOAP) utilisés pour échanger des données entre applications.          

            Au fait, nombreux sont ces internautes nomades, installés dans un café, un bar ou même en visite chez leur client, qui s’amusent à capter le signal d’un réseau sans fil non protégé… Saviez-vous que si vous installez un routeur sans fil dans votre résidence afin de partager votre connexion Internet, vous serez extrêmement vulnérable si vous ne sécurisez pas vos connexions sans fil ? Un visiteur indésirable peut non seulement capter le réseau et solliciter au maximum votre bande passante (ce qui aura une incidence non négligeable sur la facture si vous avez une limite de consommation), mais aussi, s’il est malveillant, il lui est possible de capter le contenu des communications entre les ordinateurs reliés sans fil à ce réseau.

            Autant pour les entreprises que pour les simples internautes, une visite au site de l’Institut pour la sécurité de l’information, s’impose. On y propose nombre de petits guides sur la sécurité, pratiques et bien faits. La sécurité est un enjeu à prendre en main. Et sans attendre !

Lire davantage sur ces sujets

Partagez cet article




commentaires

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.