Loading

L’histoire du hacker…

Durant l’évènement Datacloud Europe 2015 qui se déroule à Monaco, Graham Cluley a dressé avec humour le portrait de trois genres de hackers différents.

 

L’analyste et blogger sur la sécurité annonce, en s’adressant aux représentants d’entreprises, qu’il a « quelques bonnes nouvelles. Vous avez sûrement déjà été hacké et vous avez survécu ! Si ça n’a pas été le cas encore, vous le serez dans le futur… ». Que ce soit par le biais de sous-traitants, de phishing ou d’autres méthodes, les hackers de nos jours ont tous le même but, s’introduire dans le périmètre de l’entreprise et la malmener. Cependant, ces individus malveillants n’ont pas forcément les mêmes origines, buts ou encore motivations. Graham Cluley discerne trois profils différents.

Les « Kids »

Historiquement, les premiers hackers qui sévissaient sur les réseaux informatiques à peine balbutiants cherchaient simplement à s’amuser et prouver à une communauté de jeunes « geeks » leurs talents concernant la programmation. On parlait alors de 2000 virus créés par mois alors que de nos jours sur la même période, 400 000 nouveaux malwares sont diffusés sur Internet. Graham Cluley reprend le cas de Rich Skrenta qui avait alors inventé à 15 ans le virus nommé « Elk Cloner ». Ce dernier est considéré comme le premier virus à grande échelle d’auto-propagation jamais créé et qui sévissait alors sur l’Apple 2.

Dans les années 80, ces jeunes adolescents  programmaient ce type de fichier malveillant uniquement pour attirer l’attention et s’intégrer socialement ou alors dans le but d’exposer leurs qualités. A la manière des graffitis artistiques qui embellissent les murs de nos cités, les virus de l’époque étaient élaborés avec soin que ce soit dans la conception ou le design. Illustration avec une légère rétrospective des virus les plus « amusants » comme celui-ci-dessous.

Les organisations criminelles

A partir des années 90 avec l’explosion de l’informatique dans les entreprises et notamment dans les environnements financiers, les voleurs de grands chemins se sont aperçus qu’il était plus raisonnable, simple et avantageux d’effectuer un casse par le biais des moyens numériques avec un simple ordinateur et une connexion réseau. Alors qu’auparavant, le virus se manifestait directement sur l’écran d’ordinateur en affichant des messages et interactions, les hackers privilégient la voie furtive et cherchent à éviter à tout prix d’être détectés.

Les techniques s’affinent et l’objectif devient l’argent. Désormais, c’est l’ère des « Money-Making Malwares ». « Ils compromettent les ordinateurs de personnes innocentes pour spammer les serveurs sans se faire attraper », ils attaquent les compagnies qui stockent les données de leurs clients pour ensuite les revendre, ils effectuent des « Denial-of-Services Attacks » pour kidnapper les sociétés en bloquant tout simplement leurs IT et les forcer à payer une rançon pour qu’elles puissent reprendre leurs activités, etc.. Si les attaques se sont complexifiées avec le temps, le but reste le même : l’argent.

Et comme, les pirates se cachent dans la masse d’anonymes sur le web en passant par différentes technologies de plus en plus sophistiquées, cela risque de prendre des années avant que les investigations menées par les autorités parviennent à retrouver les protagonistes. De plus, le phénomène des commanditaires, ces entreprises ou personnes qui louent les services de hackers pour voler des données, interrompre les services de retail en ligne ou autres, se multiplie et empire la tâche des cyber-policiers.

« The Last Enemy »

Dernier portrait et non des moindres. Depuis le passage au deuxième millénaire, les entreprises doivent faire face à un nouveau protagoniste : le gouvernement. Avec pour principal argument, la lutte contre la criminalité et le terrorisme, les autorités de différents pays ont saisi « l’opportunité d’une surveillance de masse » que représente internet. Graham Cluley énonce le fait qu’« Il est bien plus facile de passer par le web que de chercher à intercepter les lettres physiques à la poste ou d’enregistrer et écouter chaque conversation téléphonique ».

Si le but premier parait louable, régulièrement certains pays font la une du monde IT pour un tout autre genre de surveillance voire de vol, celui sur la propriété intellectuelle et les informations stratégiques. Régulièrement, des campagnes d’attaques à l’encontre d’autres pays ou de grandes entreprises font la une de la presse et scandalisent l’opinion publique comme l’affaire Snowden par exemple. Que ce soit par un Patriot Act, PRISM ou des boîtes noires dans le cas français, l’espionnage informatique comme l’explique le blogger britannique « c’est moins cher et plus efficace que de parachuter James Bond mais aussi beaucoup plus facile à démentir l’avoir fait… ».

Les conseils de Graham

Avec toutes les agressions qu’elles subissent par ces différents types de hackers, il ne faut pas oublier qu’ « il y a un espion sur chaque ordinateur, sur chaque bureau … et dans chaque poche ». L’explosion des modèles mobiles avec l’arrivée des smartphones et des tablettes doit être prise en compte dans la stratégie sécuritaire des entreprises. Hormis les classiques de la sécurité en profondeur, les sociétés ont le devoir de sensibiliser leurs collaborateurs à commencer par l’authentification forte et les règles basiques.

Passer par des VPN pour les communications internes et crypter les données que ce soit celles de l’entreprise ou des clients sont les meilleurs moyens de se protéger. « La meilleure approche de se prémunir vis-à-vis des données clients contre les attaques est de ne pas avoir la main dessus» assure Graham Cluley. Un modèle qui risque de ne pas être suivi par beaucoup d’entreprises qui pour des raisons analytiques ou tout simplement pour les revendre à des tiers préfèrent garder entièrement visibles et sous contrôle ces données…

« Je ne suis pas vraiment un fan du mot ‘Cloud’ et si vous le remplacez par ‘l’ordinateur de quelqu’un d’autre’, ça va changer toute votre vision ». En effet, le Cloud pose toujours des problèmes de gouvernance des données. Il faut donc demeurer ultra-vigilant concernant la criticité tout en restant en adéquation avec les législations de chaque pays. Alors le meilleur moyen de se prémunir des futures attaques serait le fait de se hacker soi-même pour découvrir les faiblesses et failles de son SI avant que quelqu’un d’autre ne le fasse…

Et n’oubliez pas que « tout a commencé par une simple blague de Rich Skrenta… »

Tristan Karache Tristan Karache - Journaliste informatique
Journaliste informatique, spécialiste NTIC en charge de la veille technologique et stratégique IT française et internationale pour http://www.itpro.fr et le mensuel ITPro Magazine.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Dell Data Protection Manager en 4 avantages clésDell Data Protection Manager en 4 avantages clésComment réduire au minimum les données de leurs magasins de stockage, optimiser le trafic WAN vers les fournisseurs de stockage sur Cloud public et augmenter le nombre d’options de restauration ? Découvrez rapidement tous les avantages de la solution Dell Data Protection Rapid Recovery 6.0.Découvrez votre Guide !

Ressources Informatiques

TOP 5 des meilleures pratiques de sécurité IBM I Rien n’est plus sécurisé qu’un IBM i, mais vous n’êtes pas à l’abri des fuites de données et autres compromissions, ce n’est pas parce…
   SMART DSI | 2 pages
Découvrez le Top 5 IBM i
Quelles options pour la gestion et la restauration des données ? De plus en plus, les entreprises donnent la priorité aux solutions qui leur permettent de restaurer facilement, rapidement et en toute flexibilité leurs…
   DCIG for Dell | 2 pages
Le point sur les solutions de sauvegarde
Dell Data Protection Manager en 4 avantages clés Comment réduire au minimum les données de leurs magasins de stockage, optimiser le trafic WAN vers les fournisseurs de stockage sur Cloud public et…
   DCIG for Dell | 2 pages
Découvrez les avantages clés
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Nouvelle Bibliothèque Intel Math Kernel Découvrez comment multiplier par 5 la performance de la reconnaissance vocale avec la bibliothèque Intel® Math Kernel et la plate-forme Euler, la plate…
   Intel | 8 pages
Découvrez le livre blanc
Guide de sécurité des environnements virtuels Ce livre blanc vous aide à identifier le meilleur équilibre entre sécurité et performances pour votre environnement virtuel. La difficulté ? Mettre…
   Kaspersky | 8 pages
Le Guide de sécurité pour les environnements virtuels
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Cédric Bravo Cédric Bravo Co-président du Guvirt

Laurent Teruin Laurent Teruin Consultant Senior Lync et MVP Lync

Arnaud Alcabez Arnaud Alcabez Directeur Technique - ABC Systèmes

Vidéos Informatiques

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Les Assises de la Sécurité 2015 : Dirk Geeraerts - GemaltoDirk Geeraerts, Regional Sales Director BeNeLux & Southern Europe pour Gemalto revient…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI