Les pirates informatiques semblent désormais systématiquement avoir un coup d'avance dans la bataille globale, de plus en plus complexe, de la cybersécurité.
«Jamais l'avantage n'a autant été du côté de l'attaque» de la part des pirates, confirme Philippe Duluc, directeur de la sécurité chez Bull.
Pas une semaine ne s'écoule sans qu'un grand groupe ne soit victime d'une faille majeure et les vols de mots de passe se mesurent à présent en centaines de millions. La banque américaine J.P. Morgan a ainsi révélé que l'attaque informatique dont elle a été victime pendant l'été a touché 76 millions de ménages et 7 millions de PME, clients de l'établissement.
Pire, selon une étude du cabinet PwC, alors que le nombre d'incidents déclarés a augmenté de 48% dans le monde depuis le début de l'année pour un coût moyen de 2,8 millions de dollars, le budget moyen alloué à la sécurité informatique a diminué dans le même temps de 4%.
«En France, ce sont les organisations de moins de 250 salariés qui sont les plus ciblées parce qu'il est préférable de viser un sous-traitant d'un grand groupe qui sera potentiellement moins protégé et offrira un accès à ce dernier », souligne Laurent Heslault, directeur des stratégies de sécurité chez Symantec.
Les hackers se sont professionnalisés et regroupés à mesure qu'ils s'enrichissaient, renforçant leur capacité à détourner n'importe quel type d'appareil pouvant leur servir, comme l'a expérimenté un opérateur brésilien qui a vu ses box (d'accès à Internet et aux bouquets télévisés) être
piratées.
Les responsables de la sécurité des systèmes d'information sont pour l'instant démunis à l'heure d'affronter les nouveaux usages: big data, BYOD (usage des appareils mobiles personnels dans l'entreprise), objets connectés et «cloud».
Une gestion optimale des dégâts
Le ton alarmiste destiné à vendre un maximum de solutions aux acheteurs institutionnels et privés a donc cédé la place à un constat: la prévention des incidents s'est transformée en gestion optimale des dégâts.
Même lorsqu'une incursion est détectée, il est extrêmement difficile de la circonscrire, à l'image de «Shellshock», la faille récemment trouvée dans le programme Bash (un protocole d'accès aux appareils à distance) qui est «lié à environ 50 % des sites Internet», selon Loïc Guézo, directeur stratégie de Trend Micro pour l'Europe du Sud. «Une fois le patch de correction disponible, encore faudra-t-il trouver le temps de l'appliquer, et cela concerne 500 millions de machines et pas 500000 comme dans le cas de Heartbleed (la précédente faille majeure, découverte en mars)»,
indique-t-il.
«Dans cette course-poursuite entre hackers et acteurs de la sécurité, les premiers ont clairement un coup d'avance et, malgré tous les investissements réalisés par les clients, ceux-ci sont encore assez fortement vulnérables», résume Thierry Karsenti, directeur technique Europe de Checkpoint.
Les antivirus classiques, qui constituent encore la seule ligne de défense de nombreuses sociétés, sont depuis longtemps inefficaces face aux nouveaux types d'attaques.
«Il faut vraiment avoir des compétences très pointues pour les détecter, dont très peu d'ingénieurs disposent, les formations universitaires permettant de les acquérir étant rares», souligne Tanguy de Coatpont, directeur général de Kaspersky Lab France.
Mais les hackers s'appuient aussi et surtout sur la naïveté de consommateurs souvent peu au fait des dangers.
La société finlandaise de sécurité informatique F-Secure a récemment mené une enquête sur ce sujet en offrant dans les rues de Londres un accès wi-fi «empoisonné», bricolé avec des composants coûtant environ 200 euros.
Non seulement les passants se sont fait pirater leurs données sans s'en rendre compte en se connectant automatiquement, mais certains n'ont pas le moins du monde pris garde aux conditions générales d'utilisation, stipulant par exemple qu'ils acceptaient de céder l'aîné de leurs enfants en échange du service et, à défaut, leur chien ou leur chat...
commentaires (0)
Commenter