J’aurais pu écrire sur le piratage de TV5 Monde. Mais je pense que tout a été dit, avec le peu d’éléments techniques et de contexte disponibles. J’attends avec impatience les résultats de l’enquête et la communication qui, j’espère, sera faite par l’ANSSI pour expliquer et sensibiliser à ce type de cyber attaque. Depuis Bercy en 2011, on n’a pas eu beaucoup d’exemple public d’attaque réussie. 

J’aurais pu écrire sur les pseudos cyber experts qui ont été très rapidement mobilisés sur tous les plateaux de TV et les radios de France après la cyberattaque contre TV5 Monde. Heureusement, tous n’ont pas été mauvais, certains (les vrais, ceux qui connaissaient vraiment le sujet de la sécurité informatique) sont restés prudents et mesurés face aux questions sensationnalistes des journalistes qui ont semblé soudain très intéressés par la cybersécurité car la « grande famille » des médias était touchée.

keep calm cyber

Non je préfère profiter de ce billet pour rappeler qu’il faudrait se réveiller et qu’en 2015, les cyberattaques ne sont plus une nouvelle menace. Elles sont rentrées depuis longtemps dans le quotidien des citoyens, entreprises et administrations. Mais à chaque fois qu’une d’entre elle est révélée publiquement, on semble repartir de zéro et redécouvrir que « le feu ça brûle »  :« Ah bon nous sommes tous cyber vulnérables ? », «  Quoi le phishing ça fonctionne toujours ? », « Mais j’avais un firewall tout neuf certifié », « Mon antivirus était à jour pourtant », « encore la faute de l’utilisateur, c’est le maillon faible »,« On avait prévu un pentest demain… ». Bon j’arrête là avec les trolls. Ca me fait penser à l’excellent site cyber.excusesecu.fr.

Et je n’oublie pas les donneurs de leçon qui n’ont jamais été à la place d’un DSI ou d’un RSSI et qui vous expliquent calmement depuis leur canapé comment sécuriser les systèmes d’information d’une organisation (non, non passer tout en Logiciel Libre ne va pas tout changer comme par miracle). C’est souvent oublier que la cybersécurité est encore loin d’être la priorité de la majorité des dirigeants d’entreprises françaises (grandes ou petites). Et que sans impulsion provenant du haut (sans parler de moyens humains et pas forcément que financiers qui se limitent souvent à acheter des boites pour créer son château fort de verre), la cybersécurité restera un échec (je paierai les royalties en fin d’année).

you-habe-been-hacked-ladyblogue

Même avec toute la bonne volonté du monde et les moyens qui vont avec, le risque zéro n’existe pas et il y aura toujours une vulnérabilité quelque part qui sera, plus ou moins facilement, exploitée par un adversaire (surtout quand il est motivé et qu’il vous vise spécifiquement et pas seulement de façon opportuniste). Après, oui, il y a un fossé entre mettre les moyens et ne rien faire car : 1/ on ne connaît pas les menaces 2/ on n’a pas les compétences 3/ la direction s’en fiche. Autant ne pas trop faciliter la tâche des attaquants (le concept des journées portes ouvertes a ses limites…).

Sinon, hier soir on découvrait également que Thales avait été victime d’une cyber attaque « majeure » selon le Canard Enchaîné, qui ne s’est pas privé pas de moquer l’as de la cybersécurité qui se fait pirater. 

thales cyber

Comme dit plus haut, on redécouvre encore que les cyber attaques, en plus d’être une réalité, ça pique et ça pique tout le monde. PME, grands groupes français, grands groupes étrangers, particuliers… Chacun a plus ou moins les moyens de se protéger et le fait relativement bien (ou mal). 

En France, on a tellement peu d’exemples « publics » de piratage informatique que certains semblent vivre dans une sorte d’illusion où chacun imagine ne pas être une cible intéressante ou avoir bien protégé son réseau avec son nouveau firewall de nouvelle génération. Sauf peut-être ceux qui ont déjà été victime d’une attaque mais qui le cachent honteusement. Si nous restons dans notre culture du secret, de la honte de la cyber attaque, la situation ne peut qu’empirer. Et le risque que la nouvelle soit révélée dans la presse ou sur les réseaux sociaux par un employé ou un ex-employé est de plus en plus fort. Et dans ce cas, la victime ne contrôle plus ce qui se passe… La seule solution est de communiquer, de partager l’information pour éviter que son voisin devienne également une victime et apprendre de ses erreurs. Aujourd’hui, force est de constater qu’on est loin du compte sur ces 3 sujets.

Les médias français et donc par conséquent les citoyens oublient souvent que nous ne sommes pas seuls au monde. Ailleurs également, des entreprises, administrations et grands médias se sont déjà fait pirater. Voici une petite liste non exhaustive (et certains piratages datent de 2009) :

  • Google
  • Microsoft
  • Adobe
  • RSA
  • Sony
  • Areva
  • Ministère des l’Economie français
  • Lockeed Martin
  • Boeing
  • Thales
  • Airbus
  • Anthem
  • Target
  • Staples
  • JP Morgan
  • Evernote
  • Yahoo
  • eBay
  • Banque Centrale Européenne
  • DoD
  • At&T
  • Betfair
  • Nasdaq
  • Washington Post
  • New York Times
  • Forbes
  • Northrop Grumman
  • Schneider Electric

Evidemment la plupart des victimes sont américaines mais arrêtons de laisser croire que ça n’arrive qu’aux autres…  

  • Google, Microsoft, Adobe, ces mastodontes du numérique se sont fait avoir.
  • Le New York Times, le Washington Post également.
  • De nombreux industriels de la défense américains se font « pwner » par les chinois ou les russes depuis 10 ans.
  • Même des sociétés de sécurité informatique comme RSA ou Bit9 ne sont pas non plus invulnérables.

On ne peut plus être surpris en 2015 que TV5 Monde ou Thales ou encore la startup de la FrenchTech soit piratée. Rappelons également dans 90% des cas, il a suffi d’un e-mail de phishing avec une pièce-jointe piégée ou un lien malveillant pour débuter l’attaque et l’intrusion dans le système d’information de leur cible.

Doit-on les blâmer ou les excuser ? Je ne tomberai pas dans la facilité comme certains qui, après chaque cyber attaque médiatisée, vont simplement chercher à transformer la victime en coupable et à minimiser les « compétences » des attaquants. Je ne suis vraiment mais vraiment pas certain que cette approche « négative » (le presque « bien fait pour sa gueule ») fasse progresser la cybersécurité en général.

Je préfère me servir de ces exemples pour sensibiliser et continuer encore à « sensibiliser » ceux et celles qui n’ont pas encore été victimes d’une attaque informatique (ou qui ne le savent pas encore) et tenter de réveiller les consciences. Autant le dire tout de suite, cette « mission » n’a pas de fin et elle ne « sécurise » personne. Ce n’est qu’une étape parmi tant d’autres. Ensuite il faudrait enfin proposer des solutions pragmatiques pour améliorer la posture de défense des entreprise face à des cyber attaques pas toujours très sophistiquées mais qui, elles, sont très efficaces. Mais bizarrement les « donneurs de leçons », si prompts à réagir, ne proposent rarement de vraies démarches de cybersécurité (peut-être que c’est plus facile à tweeter qu’à appliquer sur le terrain ?).

En bonus, deux articles intéressants sur le piratage de TV5 Monde :

Post a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

WordPress SEO