Cybercriminalité : le pire est à venir, selon les experts

 |   |  677  mots
Mohammed Boumediane (Ziwit) et Clément Saad (Pradeo)
Mohammed Boumediane (Ziwit) et Clément Saad (Pradeo) (Crédits : Edouard Hannoteaux/Christine Caville)
Le piratage de la chaîne américaine HBO intervient quelques mois après ceux de grands groupes de médias, ou après les dégâts considérables causés par le virus WannaCry, au printemps. La sempiternelle question ressurgit : les entreprises sont-elles préparées au pire ? Non, si l'en en croît deux experts montpelliérains de la question.

Mohammed Boumediane, P-dg de Ziwit (sécurisation de sites web, Montpellier) : « La spécificité de WannaCry, c'est sa force de propagation. Ce ransomware (logiciel prenant en otage des données confidentielles, NDLR) infecte une machine, puis tout le réseau local, en combinant, pour la première fois, une attaque de masse et du fishing (usurpation d'identité, NDLR) de masse. Si on en parle tant, c'est qu'elle a bloqué tous les systèmes. Et pour récupérer ces datas, des entreprises ont payé ! Le compte Bitcoin du groupe pirate responsable affichait 80 000 $ en quelques jours à peine. Les virus classiques récupéraient des données, mais sans rien bloquer ou sans impacter la productivité. Ici, il y a eu de fortes pertes en numéraire. Beaucoup de gens ont au moins pris connaissance du problème. Après l'attaque, nous avons reçu énormément d'appels de clients et prospects, et Ziwit a fait le chiffre d'affaires de deux semaines en trois jours... Mais l'affaire WannaCry démontre la fragilité de nos systèmes. Une forte proportion d'entre eux est infectée, et la tendance va exploser avec les objets connectés. Par exemple, une simple caméra de sécurité ouverte permet aux pirates de remonter jusqu'au serveur. Or bien souvent, les fabricants eux-mêmes ne maîtrisent rien. Ils fabriquent d'abord l'objet, car ils doivent le vendre rapidement, sans se pencher sur la sécurisation des systèmes, des flux, etc. Nous aurons donc d'autres attaques massives avec l'IoT. Je note une évolution positive avec l'adoption prochaine d'une loi européenne qui, au 1er janvier 2018, va obliger les entreprises, quelles qu'elles soient, à prendre toutes les mesures nécessaires pour se protéger. Il est bon d'agiter le bâton pour responsabiliser les sociétés récalcitrantes - elles risquent une pénalité de 4 % du CA -, mais le mieux serait de leur faire passer ce message : ce qui fait la valeur d'une entreprise, ce sont les datas qu'elle recueille et qu'elle protège. »

Clément Saad, CEO de Pradeo (sécurisation de terminaux mobiles, Montpellier) : « Plus que WannaCry, c'est la fréquence des attaques qui m'interpelle. En quelques mois, Yahoo! s'est fait pirater des milliards de mails, le Parti démocrate a été attaqué pendant l'élection présidentielle américaine de 2016, En Marche! a connu le même sort lors de la présidentielle 2017, Sony s'est fait voler un film, puis s'est produit une première attaque massive par WannaCry, et une deuxième... Et encore, WannaCry est une attaque simple. Elle repose sur une technique déjà vue, le ransomware, exploitant la faille d'un vieux système d'exploitation qu'est Windows XP. Cela repose la question du décalage entre le degré d'organisation des pirates, et la façon dont les entreprises se protègent. D'un côté, les pirates étaient, par le passé, des individus isolés, qui recherchaient avant tout le challenge technique. Désormais, ce sont des groupes qui s'attaquent à des États pour leur extorquer de l'argent. De l'autre côté, les grandes entreprises ont fini par réagir et ont recruté des responsables de la sécurité informatique. Mais derrière elles, c'est du gruyère ! Dans les PME, les responsables informatiques n'ont tout simplement pas le temps de traiter le sujet. J'avoue mon pessimisme pour l'avenir. On se rend compte qu'il subsiste des failles massives dans le vieux monde - il y a eu quatre autres versions de Windows depuis XP -, alors que le nouveau est déjà là. Que se passera-t-il avec la domotique, la e-santé, les objets connectés ? On développe des applis pour les voitures connectées, mais qu'arrivera-t-il si l'appli compromet la trajectoire de la voiture ? Si les données collectées par un bracelet pour diabétique sont altérées ? Il n'est plus question de gloire et d'argent, mais de la vie des gens. À Pradeo, nous voyons de plus en plus d'appels d'offre pour sécuriser des boxes et des voitures connectées. Mais ils émanent toujours de grands comptes. »

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 18/08/2017 à 13:03 :
Il est plus facile pour les hommes d'inventer des objets connectés que d'inculquer le "respect de soi même et des autres à des populations terriennes déconnectées par" trop de connexions."
Pourtant le challenge n'est pas compliqué et pourtant....
a écrit le 18/08/2017 à 12:26 :
Le "pire" est à venir sans rire ?

Aujourd’hui lendemain d'un attentat qui a tué réellement vous nous parlez du pire en matière de cybercriminalité qui ne tuera jamais personne elle ?

De grâce laissez nous espérer que la criminalité se cantonne à internet svp, merci.
Réponse de le 18/08/2017 à 18:16 :
La cyber sécurité à déjà tué! Et tuera de plus en plus. Des hôpitaux ont été paralysés, des centres de radiothérapie ont perdu des données sur des traitements en cours. Et quand cela arrivera dans une tour de contrôles, sans Parler des centrales nucléaires
Réponse de le 19/08/2017 à 11:50 :
Et pourtant, demain, la cybercriminalité pourra tuer.

Aujourd'hui, potentiellement, un attaquant peut envoyer une voiture autonome dans un ravin, faire accélérer un pacemaker jusqu'à l'attaque cardiaque, ouvrir les vannes d'un barrage hydraulique, stopper la production d'une centrale électrique alimentant un hôpital.

Le monde du tout connecté ne se limite pas aux objets du quotidien, et demain des drames pourront avoir lieu si on n'y prête pas attention.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :