Dossier

Gare aux espions!

Tout ce que vous devez savoir pour protger vos informations sensibles
La menace est diffuse, discrte, mais bien relle. La plupart des administrations et des grandes entreprises ont dj t victimes du cyberspionnage. Mais lheure de la mobilisation a sonn.

C
RAPHAEL DEMARET POUR 01BUSINESS

est un vrai cri dalarme qua pouss le Centre danalyse stratgique (CAS) dans une note publie le mois dernier. Selon lui, le dveloppement massif du cyberespionnage constitue une menace majeure pour lconomie franaise. Captation de savoirfaire, de pistes de recherche et dveloppement confidentielles, de donnes financires... Ce pillage est en cours dindustrialisation, la fois parce que la concurrence conomique mondiale est plus froce que jamais, et parce que le dploiement du numrique dans les entreprises les rend vulnrables aux cyberespions de tout poil. Selon le CAS, mme si lampleur du phnomne est impossible mesurer prcisment, il est urgent de sentourer de prcautions : La plupart des grandes entreprises et des administrations ont trs probablement dj t victimes dintrusions des ns despionnage , estimet-il. Si la criminalit numrique (virus, attaques contre des infrastructures, dtournement de donnes bancaires...) provoque des dgts immdiatement identiables, une campagne despionnage est, par principe, invisible. Les outils utiliss par les cyberespions pour tout connatre de votre

SOMMAIRE
P.34

Interview:Les entreprises doivent rompre la loi du silence. Christian Harbulot, directeur de lEcole de guerre
conomique, fait le point sur les lacunes hexagonales.

P.36

PC de bureau: loignez les curieux de votre poste de travail.

Une fois log dans votre ordinateur, un logiciel espion transmettra vos donnes son commanditaire.

P.39

Imprimantes: mez-vous de leur mmoire dlphant.

Imprimer un document laisse des traces numriques. Et le papier nit souvent dans des corbeilles accessibles tous.

P.40

Mobiles: ne laissez jamais traner votre smartphone!

Ecouter vos conversations ou lire vos courriels est la porte de nimporte quel apprenti espion.

P.42

Rseaux Wi-Fi: sachez reprer les hotspots bidons. Besoin

de vous connecter en dplacement? La prudence simpose.

32.01 BUSINESS

01B_2164_034_037_DOSSIER 4 OUV.indd 32

04/04/13 11:08

!
Christian Harbulot, le directeur de lEcole de guerre conomique, invite les entreprises franaises la vigilance face au vol dinformations.

n e.

WWW.01 BUSINESS.COM.33

01B_2164_034_037_DOSSIER 4 OUV.indd 33

04/04/13 11:08

Dossier

activit sont de plus en plus discrets et complexes , explique Nicolas Caproni, expert en scurit du cabinet BSSI. O les trouvent-ils ? Les diteurs spcialiss dans la conception de logiciels dintrusion, tels que lAmricain Netragard ou le Franais Vupen, ne cdent leurs trouvailles ofciellement qu des gouvernements ou de grandes organisations. Mais il existe un march parallle trs structur. Sur Internet, des places de march clandestines mettent en concurrence des dizaines de hackers indpendants qui y coulent leurs trouvailles, tels ces programmes mouchards sautodtruisant aprs un certain dlai. Selon le laboratoire de virologie et de cryptologie oprationnelles de Les PME dinginnovantes lcole nieurs Esiea, le constituent cot dun code des cibles trs malicieux a t divis par cinq prises depuis 2004. Il se situerait dans une fourchette de 20 000 250 000 dollars. Une mise vite rentabilise dans le cas dun piratage de brevet ou de lobtention dun appel doffres. Douce illusion. Pourtant, rares sont les entreprises ayant vraiment pris conscience du danger. Les dirigeants estiment souvent que seules les activits stratgiques (militaire, arospatiale...) sont menaces. Cest une illusion, afrme Nicolas Caproni. Toutes les socits peuvent tre victimes de cyberespionnage, et en particulier les PME innovantes qui constituent des cibles trs intressantes pour des Etats trangers ou des concurrents. Mais on lignore, car lorsquune entreprise dcouvre (le plus souvent par hasard) quelle a t pirate, la loi du silence lemporte , affirme Christian Harbulot, le patron de lEcole de guerre conomique. Dcouvrez dans notre dossier comment les pirates sapproprient vos informations sensibles et quelles prcautions prendre pour leur compliquer la tche. Inquitant ? Dites-vous, comme Andy Grove, le fondateur dIntel, que seuls les paranoaques survivent... DIDIER GNEAU

Les entreprises doivent b

mais plongs dans une conomie mondiale tourmente avec des chocs concurrentiels de plus en plus durs. Les menaces sont partout. Lespionnage est dailleurs quelquefois pratiqu par des entreprises franaises contre dautres entreprises franaises.
La France est-elle bien arme pour se protger? CH: Regardons les choses en face, nous sommes fragiles. Cest dj vrai au niveau de lappareil dEtat, alors je ne vous parle mme pas des entreprises. Certes, les pouvoirs publics ont fait des efforts avec la cration, en 2008, de lAnssi (Agence nationale de la scurit des systmes dinformation). Mais les moyens nanciers et humains de lagence restent aujourdhui deux fois infrieurs ceux de son quivalent allemand. LAnssi se focalise donc sur quelques priorits stratgiques et ralise, au coup par coup, des actions de sensibilisation auprs des socits. Cela reste insufsant. Si lon entend peu parler des problmes, cest quil existe dans les entreprises, soucieuses de prserver leur rputation auprs de leurs clients, une tradition de loi du silence. La situation nest pas diffrente dans les administrations. Comment expliquez-vous une aussi faible mobilisation face au cyberespionnage ? CH: Les raisons sont multiples. La premire est quil ny a pas encore eu de faits marquants de cyberespionnage, comme le crash dun avion, qui aurait pu frapper les esprits. Ensuite, il y a longtemps eu dans lHexagone un vide juridique concernant lespionnage conomique. Pour beaucoup de juges, lespionnage ne peut tre que militaire. Il est donc difcile pour une entreprise daller devant les tribunaux pour ce type daffaire. Une autre inconnue concerne le rle qui incombe aux agences gouvernementales de surveillance (DGSE,Anssi...). Doivent-elles tout surveiller ? Et si oui, sont-elles tenues de prvenir quand elles constatent des activits de cybe-

hristian Harbulot est le directeur de lEcole de guerre conomique (EGE) quil a fonde en 1997 avec le gnral Jean Pichot-Duclos. Chaque anne, ltablissement forme une centaine dexperts en intelligence conomique. Elev en 2008 au grade de lieutenant-colonel de rserve, cet expert, auteur de nombreux ouvrages (Il nous faut des espions, La Main invisible des puissances ou Le Manuel de lintelligence conomique) fut en 1994 lun des principaux contributeurs au rapport Martre qui a pos les bases de lintelligence conomique franaise. Pour 01 Business, il fait le point sur les mesures que doivent prendre les entreprises franaises an de garantir leur scurit.
Le phnomne du cyberespionnage est-il aujourdhui exagr ? CHRISTIAN HARBULOT: Non, je dirai mme quil est sous-valu. Nous nous trouvons confronts une monte en puissance sans prcdent de la criminalit informatique. Lapparition de nouveaux outils numriques, comme les smartphones ou les rseaux sociaux, multiplie les failles potentielles. Le vol dinformations est de plus en plus facile et, surtout, de moins en moins risqu. Sait-on pour autant mesurer prcisment le niveau rel du cyberespionnage ? Non, malheureusement, car les entreprises, et particulirement les PME, nont pas conscience de ces risques. Beaucoup dentre elles ignorent mme tout simplement quelles sont observes. Dans les affaires rcentes de cyberespionnage, la Chine a souvent t pointe du doigt. Est-ce une ralit? CH: Il est vident que les Chinois ne sont pas larme au pied en matire de cyberguerre et de cyberespionnage. Oui, lempire du Milieu est une menace, mais prenons garde ne pas la diaboliser trop vite. En matire dintelligence conomique, il est toujours difcile de prouver qui fait quoi. En revanche, ce qui est certain, cest que nous sommes dsor-

34.01 BUSINESS

01B_2164_034_037_DOSSIER 4 OUV.indd 34

04/04/13 11:09

nt briser la loi du silence

Les enquteurs de lOCLCTIC contribuent lutter contre la criminalit informatique.

QUI SONT LES FLICS DU NET

Quatre organismes publics veillent au grain sur la Toile. DCRI : la Direction centrale du renseignement intrieur est rattache au ministre de lIntrieur. Befti : la Brigade denqutes sur les fraudes aux technologies de linformation est un service de la police judiciaire de Paris. OCLCTIC : lOffice central de lutte contre la criminalit lie auxTIC est une manation de la police nationale. IRCGN : lInstitut de recherche criminelle dpend de la gendarmerie.

respionnage ? Lorsquil sagit dactivits stratgiques pour les intrts vitaux franais, la rponse est vidente. Mais que faire quand cela concerne dautres secteurs dactivit ? Il convient de dnir un champ lgal dobservation. La question nest pas anodine, loin de l.
Vous voquez galement un problme culturel dans les entreprises...

STPHANE BELLEC ET DIDIER GNEAU

WWW.01 BUSINESS.COM.35

01B_2164_034_037_DOSSIER 4 OUV.indd 35

RAPHAEL DEMARET POUR 01BUSINESS - VINCENT ISORE/IP3

CH: En effet. On observe un dni des risques lis au vol dinformations. Les procdures de scurit sont perues comme dgradant le confort dutilisation des communi cations ou des rseaux. Dire quelquun de protger son poste de travail par un code de huit chiffres est vcu comme une agression. On voque aussi souvent les contraintes que cela fait peser sur la productivit et la comptitivit.

La mode du BYOD peut faire des ravages

Quels sont, aujourdhui, les points faibles numriques des entreprises ? CH: Les nouveaux outils technos mlangent allgrement le personnel et le professionnel. Cela peut avoir des consquences catastrophiques. Il faut chercher dissocier ces deux aspects. En termes de communications et de flux dinformations, intgrons le fait quune interception est toujours possible. Ainsi, si vous craignez dtre cout lors dun rendez-vous important, nhsitez pas retirer la puce de votre mobile. Mettre toute linformation de lentreprise sur un terminal mobile reprsente un autre danger. Quelles consquences si je perds mon portable ? Quels sont les moyens de rendre inactif ce terminal distance le plus vite possible ? Mme un simple carnet dadresses et un agenda complet dans un smartphone

sont des informations en or. A priori, si un boulanger se fait voler son agenda, les consquences seront minimes. Mais lorsquon exerce de multiples activits, cela peut devenir trs pnalisant. Un juste milieu est ncessaire entre paranoa et dsinvolture.
Que recommandez-vous aux entreprises ? CH: Il est impratif quelles prennent conscience de la valeur du capital que reprsentent leurs informations sensibles. Puis, quelles cherchent savoir quelles donnes sont rendues publiques sur leur site Web ou sur les rseaux sociaux par les salaris. Reste enn identier les menaces venant de la concurrence et raliser un audit de leur systme dinformation. Alors seulement, elles pourront tablir des rgles de bon sens en matire de scurit. PROPOS RECUEILLIS PAR

04/04/13 11:09

Dossier

PC DE BUREAU

loignez les curieux de votre ordinateur

Une fois log au sein de votre poste de travail, un mouchard transmettra vos informations son commanditaire en toute discrtion.Voici comment protger vos donnes condentielles des regards indiscrets.

hez Nortel, cela aura dur presque dix ans ! Un programme malveillant implant dans les ordinateurs de sept dirigeants a systmatiquement transfr toutes les informations stratgiques de lquipementier tlcoms canadien un concurrent, jamais officiellement identi. Rvle lan dernier, cette affaire de cyberespionnage pourrait tre la cause des difcults de Nortel, jusqu sa faillite en 2009. Plus rcemment, en janvier dernier, cest le New York Times qui dbusquait un logiciel espion sur les PC de 53 de ses journalistes. Presque tous couvraient les sujets lis lAsie, et tout particulirement la Chine. Pour deux cas de piratage reconnus, ce sont des milliers qui demeurent tus, ou ne sont jamais dcouverts. Lattaque cible de postes de travail informatiques est devenue la voie royale de lespionnage , explique Nicolas Caproni, expert en scurit du cabinet BSSI. Oprationnels pendant des mois ou des annes, rarement dtects par les antivirus, les lo-

giciels espions sont de moins en moins chers. En fouillant sur les forums spcialiss du Web, il est ais dacheter des malwares cls en main , assure lexpert. Pour un cyberespion, la seule difcult majeure est dimplanter ce mouchard chez sa victime. Une opration dlicate, qui repose souvent sur une vulnrabilit humaine. Il existe ainsi cinq mthodes principales pour piger des utilisateurs imprudents ou crdules.

Attention aux courriels pigs

LE NOMBRE DENTREPRISES FRANAISES ESPIONNES PAR AN

1000

Le courrier lectronique demeure le canal le plus utilis , afrme Grome Billois, directeur du dpartement scurit de Solucom. Quil sagisse dun e-mail aguichant, destin attirer la personne cible sur un site internet pig, ou dun document en pice jointe, contenant le code malicieux. Dans ce cas, une mthode rpandue consiste appter la victime en usurpant le nom dun responsable des ressources humaines. Le message contient alors un chier infect nomm politique salariale ou

primes , tmoigne ce spcialiste. Une autre variante, plus sophistique, sappuie sur la surveillance distance des changes de courriels. Lastuce consiste alors se faire passer pour lun des interlocuteurs dans une discussion de travail contenant un document rvis chaque tape, puis dinfecter la pice jointe. Une mthode quasi imparable, dont le ministre des Finances a fait les frais il y

Comment la loi punit le cyberespionnage

Sur le papier, le vol dinformations, le recel et labus de conance sont svrement sanctionns. Inltrer un systme dinformation : deux ans demprisonnement et 30 000 damende (article 323-1 du code pnal). Introduire des donnes dans un systme dinformation : cinq ans demprisonnement et 75000 damende (article 323-3 du code pnal). Usurper lidentit de quelquun (prendre une fausse identit sur le rseau Facebook, se faire passer pour un responsable informatique) : un an demprisonnement et 15 000 damende (article 226-4-1 du code pnal). Violer une correspondance lectronique : un an de prison et 45000 damende (article 226-15 du code pnal). Distribuer des quipements malveillants: de deux cinqans de prison et de 30000 75000 damende (article 323-3-1 du code pnal). Vendre des donnes voles: cinq ans demprisonnement et 375000 damende (article 321-1 du code pnal).

36.01 BUSINESS

01B_2165_036_38_DOS-Poste.indd 36

03/04/13 19:00

La mthode des espions pour reprer les salaris bavards

A
Les cyberespions lont compris : les PC des salaris sont des proies faciles.

LA DURE PENDANT LAQUELLE LE VIRUS RED OCTOBERA ESPIONN DES MILLIONS DORDINATEURS

5ans

LE PRIX DUNE CL USB QUIPE DUN LOGICIEL ESPION

30euros

vant dintroduire un logiciel malicieux dans une entreprise ou de rcuprer des informations stratgiques auprs dun collaborateur imprudent, les cyberespions ont besoin deffectuer une phase de reconnaissance an didentier les maillons faibles de lorganisation. Pour lenquteur priv Fabien Franceschi, du cabinet EIA, une analyse ne des prols Linkedin ou Viadeo des salaris est une vritable mine dor. Parmi les diffrents critres passs au crible par ce spcialiste de lintelligence conomique, on trouve lanciennet, les liens hirarchiques, les volutions professionnelles... Dans le cadre dune mission daudit de scurit, ralise pour un cabinet de consultants, le dtective avait remarqu que les promotions taient majoritairement accordes lors de la premire et de la quatrime anne de carrire. Les salaris dus pouvaient devenir des cibles prioritaires. Javais galement observ que 42% des consultants non promus la premire anne quittaient lentreprise. Un vivier idal dexemploys exploiter.

a peu : en mars 2011, un PDF pig envoy par e-mail un fonctionnaire de Bercy a entran la contamination en cascade de 150 ordinateurs par un logiciel conu pour siphonner des informations sur le G20. Ce mouchard a svi plusieurs mois avant dtre dcouvert. Son crateur court toujours... Il est possible de limiter les dgts dus ce type dattaques. Grome Billois prconise linstallation sur les PC de bureau dun dispositif appel bac sable, qui sert ouvrir les pices jointes dans un espace isol du systme dexploitation du poste de travail. Trend Micro, FireEye ou Damballa proposent notamment ce type de fonction.

A moins de dclencher une guerre diplomatique, il est difcile de ne pas donner suite une requte lectronique dun

WWW.01 BUSINESS.COM.37

01B_2165_036_38_DOS-Poste.indd 37

AARON GOODMAN

Reprez les faux amis sur les rseaux sociaux

collgue vous invitant rejoindre son groupe damis sur Facebook. Cest par ce stratagme quun collaborateur de la prsidence de la Rpublique franaise sest fait piger au printemps 2012. Un pirate ayant usurp le profil Facebook dun autre fonctionnaire de lElyse a rapidement convaincu sa cible de tester, en avant-premire, une version exprimentale de lIntranet de la prsidence. Le lien indiqu dans le message conduisait de fait une fausse pageWeb, rplique exacte de loriginale. Ny voyant que du feu, la victime a innocemment tap son identiant et son mot de passe. Le tour tait jou ! Une fois ces prcieuses informations rcoltes, le cyberespion pouvait sans problme accder au systme dinformation de la prsidence. Il en a prot pour injecter un ver informatique fait maison . Ne possdant pas de signature reconnue, il tait indtectable par lantivirus. Plus tard, lenqute a rvl que

ce code malveillant permettait de collecter des fichiers, de raliser des captures dcran et dactiver le microphone de certains postes de travail. Si le pirate na jamais t identi, beaucoup dexperts afrment que seuls les services secrets amricains taient capables dune opration aussi rafne. Certes, les cyberespions nont pas tous ce niveau technique. Mais crer un faux prol Linkedin ou Viadeo pour soutirer quelques informations stratgiques dans le cadre dchanges anodins est la porte de nimporte qui.

Refusez les cls USB tombes du ciel

La technique, dj ancienne, est toujours aussi efficace : quand des cls USB de huit gigaoctets tranent le matin sur le parking de lentreprise, rares sont les salaris qui rsistent la tentation de les ramasser puis de les connecter pour en

04/04/13 12:04

Dossier

On ne sensibilise jamais assez les salaris aux risques de vols de donnes

lire le contenu. Erreur fatale ! Ce type de cadeau tomb du ciel est rarement l par hasard. Elles contiennent souvent un logiciel espion qui va ainsi se loger dans le poste de travail de la victime sans quelle sen rende compte. Nathalie Risacher, responsable scurit chez Natixis America, a voulu prouver lan dernier la prudence des salaris de sa banque. Nous avons sem dans nos locaux des cls USB contenant un chier dapparence condentielle de type salaires , raconte la jeune femme. Ds quune delles tait utilise, un dispositif de supervision prvenait automatiquement la responsable de louverture du faux chier. Les rsultats du test ont t si inquitants que Nathalie Risacher a nalement opt pour une interdiction gnrale des priphriques de stockage USB sur tous les postes de travail. Aux grands maux, les grands remdes...Aujourdhui, la plupart des systmes dexploitation tiennent compte de cette faille. Ils savent dsactiver lexcution automatique par dfaut des supports USB. Mais, l encore, on ne sensibilise jamais assez les salaris ce type de risque , ajoute Grome Billois. son mot de passe. Nathalie Risacher a malheureusement pu constater que cette technique fonctionnait trs bien. Dans le but de rpertorier les vulnrabilits de la banque Natixis, elle a appel son propre support technique et sest fait passer pour une collaboratrice exigeant cette opration. Ce qui lui a t accord sans souci. Jai donc dcid de durcir la procdure didentication du demandeur, en obligeant les techniciens se dplacer ou rappeler la personne concerne sur son mobile pour quelle sidentie. Et je vrie au moins une fois par an que les consignes sont bien respectes , raconte la responsable scurit.

Ne communiquez jamais vos mots de passe

Et si, pour obtenir les informations dun utilisateur, il sufsait tout simplement de les lui demander de vive voix ? Cest tout lenjeu du social engineering, une forme despionnage qui exploite les failles humaines et non plus techniques. Larnaque tlphonique est une mthode prouve : Allo, ici le service informatique. Je vois quil y a eu une tentative dintrusion sur votre compte. Je dois procder une rinitialisation de votre mot de passe. Pouvez-vous me conrmer vos informations ? Oui, bien sr ! Un autre scnario consiste se faire passer pour un utilisateur et faire croire au service informatique quon a oubli

Surveillez laccs vos bureaux

Ne jetez plus vos vieux PC, dtruisez-les!

38.01 BUSINESS

01B_2165_036_38_DOS-Poste.indd 38

03/04/13 18:35

ISTOCK

achez-le: le disque dur dun poste de travail jet la poubelle est une mine dor pour un cyberespion! Autant le dire, un reformatage du disque ne sert rien. Mme si les donnes semblent effaces, ce nest quune apparence. Elles restent en fait toujours accessibles physiquement via certains outils. Des moyens plus efficaces existent. Le plus radical consiste plaquer un aimant sur le disque dur. Cette mthode a le mrite de casser les pistes magntiques et de les rendre dnitivement inutilisables. Toutefois, en cas de revente ou de

Les disques durs nont pas la mmoire qui anche.

don de PC, le logiciel gratuit Ccleaner peut se rvler utile. Son fonctionnement est simple: il va rcrire de fausses informations sur le disque en effectuant plusieurs passages (jusqu 35, sil le faut). Le temps de lopration dpendra du volume

initial de donnes, mais cela peut durer une dizaine dheures. Dans le cas o lon veut se dbarrasser de plusieurs centaines dordinateurs ou de disques durs, mieux vaut faire appel des socits spcialises comme Kroll On-Track ou Chronodisk.

Quand les autres mthodes ont chou, le cyberespion a encore la possibilit de pntrer dans lentreprise pour tenter daccder physiquement au poste de travail de la personne cible. Mme si ce procd semble particulirement risqu, Fabien Franceschi, du cabinet de dtectives privs EIA, assure que cest un jeu denfant. Ce spcialiste de lintelligence conomique est rgulirement sollicit par des socits an de tester leurs procdures de scurit et rentrer incognito dans leurs locaux. Il suffit de se faire passer pour quelquun qui a quelque chose dimportant faire, quil sagisse dune livraison de eurs, de pizzas ou dun dpannage quelconque, pour tromper les services de gardiennage et russir se balader dans tous les bureaux , assure Fabien Franceschi. Afin de prouver quil a russi accder lordinateur dun salari, le dtective va jusqu exltrer des donnes en dupliquant des disques durs ou en branchant une cl USB 3G sur une machine pour en prendre le contrle distance. Selon Fabien Franceschi, accrotre la scurit informatique passe donc galement par un durcissement des modalits daccs aux locaux de lentreprise et une meilleure sensibilisation des quipes de gardiennage ce type de risques. L encore, lhumain reste la meilleure dfense contre les cyberespions. STPHANE BELLEC

Les imprimantes aussi ont un talon dAchille: leur disque dur, qui enregistre les documents produits.

WWW.01 BUSINESS.COM.39

01B_2165_039_DOS Imprimante.indd 39

ISTOCK

treprise grce une simple recherche sur Google , assure lexpert Nicolas Caproni, du cabinet BSSI. Pour le cyberespion, cest une porte dentre idale. Lorsquil ne peut voir que le nom des documents en attente dimpression, les consquences restent minimes. Mais quand une faille de scurit permet de charger les documents imprims, comme cest arriv lan dernier avec des modles Samsung, cela devient critique. En novembre 2011, deux chercheurs de luniversit de Columbia avaient dj mis jour une faille sur les laserjet de HP donnant un accs au rseau dentreprise. Un type de vulnrabilits dautant plus critique que les logiciels de scurit nanalysent que rarement les imprimantes. Pche miraculeuse. La parade est technique, et ncessite au moins linstallation dun pare-feu ainsi quun suivi rgulier des mises jour du rmware, le logiciel interne de limprimante. Il faut galement veiller tablir une procdure stricte lors du changement de matriel dimpression, mme si celui-ci est en location, en preLes paroles senvolent, les crits restent. Imprimer un nant soin deffacer son disque dur. document peut avoir des consquences insouponnes. Et Si limprimante est correctement scurise, le cyberespion naura alors dautre si le papier reprsentait la premire des failles de scurit ? choix que de se rabattre sur... le papier ! Sil parvient entrer dans les locaux de lentreprise, la pche peut tre fructueuse. e chiffre est alarmant : 63 % Pour la consultante Sharon Fisher, Selon Canon et linstitut BVA, 20 % des des entreprises reconnaisancienne analyste de Gartner Group, salaris franais ont dj trouv des dosent avoir perdu des doncette ngligence est dautant plus dom- cuments confidentiels dans le bac des nes condentielles cause mageable que plus les priphriques imprimantes. Recourir un systme de dune mauvaise gestion de dimpression deviennent intelligents, plus carte avec code PIN pour rcuprer ses leurs imprimantes, selon ils sont vulnrables . De fait, ces appa- impressions vite quelles ne sempilent une tude rcente mene par le cabinet reils multifonctions, capables dimpri- et tombent entre de mauvaises mains , Quorcica et lditeur Nuance. Pourtant, mer, de copier, de scanner et de faxer, recommande Grome Billois, directeur seules 22 % des socits europennes sont dots de disques durs qui du dpartement scurit du caafrment avoir scuris leurs systmes enregistrent limage des docuCertaines binet de conseil Solucom. dimpression. Pourquoi une telle inertie ? ments produits. Pour le chanDemeure encore un risque : imprimantes La quasi-majorit des responsables ceux qui mettrait la main sur la fouille des poubelles. Dans sont scurit interrogs prtexte des chanlun de ces supports de stocune enqute de 2008, le Craccessibles doc avait rvl que deux tiers plus prioritaires. Cest oublier que kage, cest lassurance de rlorsque les messageries, les postes de cuprer un beau paquet dinpar Google tiers des poubelles dun chantravail et les terminaux mobiles ont t tillon de 200 entreprises franformations exclusives. scuriss, les prcautions deviennent Autre point faible technique de ces ciliennes contenaient au moins un docucaduques chaque fois quune informaimprimantes : leur connexion au rseau ment condentiel. L encore, la solution tion confidentielle ou sensible est imdentreprise, pas toujours sufsamment est technique, mais pas informatique : un prime, facilement rcuprable par des scurise. Lors daudits, on arrive par- bon vieux broyeur de documents peut se curieux malintentionns. fois accder des imprimantes den- rvler trs efcace ! JEAN-MARC GIMENEZ

IMPRIMANTES

Mez-vous de leur mmoire dlphant

03/04/13 18:58

Dossier

MOBILES Ne laissez jamais

traner votre smartphone !
Les logiciels espions se trouvent facilement sur la Toile et peuvent tre glisss votre insu dans votre tlphone. Pour garder condentiels vos communications, courriers lectroniques et chiers, la plus grande prudence simpose.
logiciels mouchards sont la porte de toutes les bourses : leurs prix oscillent entre zro et quelques centaines deuros. Beaucoup dacheteurs se les procurent pour des raisons personnelles, an dpier un conjoint ou un enfant difficile. Mais les occasions de les utiliser dans une optique de cyberespionnage ne manquent pas, ds lors que lon a franchi le principal obstacle : trouver le moyen de prendre en mains quelques minutes le smartphone de la personne cible pour y installer le logiciel.

S
D

ortir son smartphone de sa poche pendant un conseil dadministration, le mettre en mode silencieux et le poser sur la table... Voici un geste bien anodin qui ne semble gure prter consquence. Erreur ! Si lappareil a t pralablement pig, son micro sactive et capte la conversation sans que personne ne sen rende compte. Le mobile a lair inactif. Pourtant, des centaines de kilomtres de l, des oreilles indiscrtes coutent tout ce qui se dit. Ce scnario ne relve en rien de la science-ction. Il existe aujourdhui une multitude de technologies permettant despionner des personnes par lintermdiaire de leur tlphone, mais aussi de siphonner les contenus qui y sont stocks.

Certains de ces logiciels, dits dcoute environnementale, sinstallent directement sur lappareil. Selon Symantec, ces outils reprsenteraient plus de la moiti des applications malveillantes actives sur mobile. Une simple recherche sur Google, avec les mots cls espionnage et smartphone , permet de dcouvrir quelques-uns dentre eux la plupart, videmment, illgaux en France , parmi lesquelles vip13-Pro, Omegaspy, MB-Pro, Copy9, Spybubble ou encore GSMespion. Le descriptif de leurs fonctions est sans quivoque : activation du microphone, interception discrte des courriers lectroniques, des SMS et des messages instantans Blackberry Messenger, WhatsApp et Skype, accs aux contacts, aux notes... Le plus surprenant, cest que ces

Les mouchards sont quasi indtectables

Il existe des outils despionnage plus volus, camous en application inoffensive (jeu, outil de productivit...). Dans limmense majorit des cas, cest lutilisateur qui linstalle lui-mme, aprs avoir reu un mail incitatif envoy par le pirate. Les actions de ce type dapplis sont invisibles et il est trs difcile de les dtecter, raconte Chadi Hantouche, expert scurit chez Solucom. Cependant, certains signes, telle la consommation excessive de la batterie du tlphone, doivent alerter le possesseur du mobile. Sils sont confronts des utilisateurs sensibiliss ces dangers, les cyberespions auront du mal implanter ce type de mouchard. Les plus chevronns se tournent alors vers du matriel inconnu du commun des mortels, comme le systme IMSI (International Mobile Subscriber Identity) Catcher. Cet appareil, qui tient dans un sac dos, se substitue aux antennes-relais des oprateurs mobiles et capte les communications tlphoniques environnantes. En thorie, lutilisation de cette technologie, soumise une lgislation stricte, est rserve aux agences de renseignements gouvernementales. Toutefois, ce systme sacquiert au march noir pour moins de 1 000 euros. Selon le cabinet Lexsi, spcialis en scurit informatique, les entreprises qui souhaitent se protger doivent re-

Le BYOD dmultiplie les risques

ans 80% des entreprises amricaines et europennes, les salaris utilisent au bureau du matriel informatique personnel, selon une tude de Forrester. Cette dernire montre aussi que ce phnomne baptis BYOD (Bring Your Own Device) crot denviron 30% par an. En 2017, il devrait concerner environ 905 millions de terminaux. Les nombreux points daccs au systme dinformation sont autant
Plus de 900millions de terminaux personnels seront utiliss au travail en 2017.

de vulnrabilits exploiter pour les hackers. Des chiffres ont t communiqus par lditeur Trend Micro, et relays par lInstitut national des hautes tudes de la scurit et de la justice (INHESJ). Ils ont rvl quentre 2007 et

2012, la prolifration des iPhone, iPad et mobiles Android connects au systme dinformation des entreprises a engendr une augmentation de 35% du nombre dattaques par Internet et de 12% du piratage par courriels.

40.01 BUSINESS

01B_2165_040_041_DOSmobiles.indd 40

03/04/13 18:32

UNE HEURE SUFFIT POUR SIPHONNER UN SMARTPHONE

10 h 10
La victime se fait subtiliser son tlphone mobile sans mme sen rendre compte.

10 h 11
Une fois la carte SIM retire, lappareil ne peut plus tre dtect par loprateur. Il nest plus possible non plus den effacerle contenu distance.

10 h 21
Attaqu par un logiciel spcialis, le code de verrouillage, contenant seulement quatre chiffres, cde rapidement.

11 h 01
Trente quaranteminutes suffisent pour sapproprier toutes les donnes stockes sur le mobile. Le temps de casser les mots de passe daccs aux applications avant de copier les informations.

11 h 05
Si le mobile a t subtilis furtivement, lespion peut le replacer dans la poche de la victime, qui ny aura vu que du feu.

WWW.01 BUSINESS.COM.41

01B_2165_040_041_DOSmobiles.indd 41

ISTOCK - MAXPPP

courir des solutions de chiffrement des communications GSM . Avec un impratif : Que lapplication soit installe sur les mobiles de tous les interlocuteurs, sans exception. Cette contrainte rduit alors le primtre de protection aux seuls salaris de lentreprise et aux partenaires volontaires pour utiliser le mme systme de chiffrement. Cellcrypt, Ercom, ou encore Teopad, commercialisent de tels logiciels de chiffrement des communications tlphoniques. Enn, dfaut dcouter les conversations, une personne malintentionne a toujours la possibilit de rcuprer les informations contenues dans lappareil en le subtilisant. En 2011, 70 millions de smartphones ont t perdus ou vols dans le monde, rvle le fournisseur informatique Kensington. Seuls 7 % dentre eux ont retrouv leur propritaire. En dcembre dernier, la Direction centrale du

renseignement intrieur franais (DCRI) a dmontr, lors dun congrs du Club des directeurs de scurit des entreprises (CDSE), quun smartphone vol larrach pouvait tre vid de toutes ses donnes en moins dune heure. Une opration ralisable avec un logiciel capable de casser le code de verrouillage et dextraire les informations de lappareil, au prix de quelques centaines deuros.

Les entreprises ne se projettent pas assez

Selon la DCRI, il est donc urgent que les entreprises franaises scurisent davantage leur parc de tlphones mobiles. Lan dernier, une tude du Club de la scurit de linformation franais (Clusif) a ainsi rvl que deux tiers des socits de plus de 200 salaris nutilisaient pas

dantivirus sur leurs terminaux nomades. De mme, trois organisations sur quatre ne chiffrent pas les donnes inscrites sur leurs quipements mobiles. Cest un vrai problme, particulirement avec les modles Android , estime Renaud Bidou, directeur technique de lditeur DenyAll. En effet, les applis qui fonctionnent sous ce systme dexploitation sont moins contrles que celles pour iPhone. La solution adopter en priorit ? Une console de gestion des terminaux et des applications mobiles. Les DSI peuvent ainsi grer distance les applis installes sur leurs ottes de mobiles et procder automatiquement aux mises jour logicielles. Mais ces consoles ont un autre avantage : elles sont capables deffacer distance tout le contenu dun smartphone perdu ou vol. Une intervention pratiquer systmatiquement ds quun mobile est port disparu. EDDYE DIBBAR

03/04/13 18:32

Dossier

RSEAUX WI-FI
Sachez reprer les hotspots bidons
Besoin de vous connecter au cours dun dplacement ? La prudence simpose. Car il est facile de se laisser abuser par un rseau contrefait et de livrer ses donnes un indiscret.
our prs de neuf personnes sur dix, le Wi-Fi est le mode de connexion prfr pour surfer sur Internet en situation de mobilit. Trouver un rseau disponible est le premier rflexe des cadres en voyage daffaires. Pour 88 % dentre eux, cest mme aussi vital que leau ou llectricit, selon une tude iPass ! Mais cest parfois un casse-tte. Dans son dernier rapport, ce spcialiste de la mobilit montre que la moiti des professionnels nomades prouvent des difcults trouver un accsWi-Fi puLE WI-FI blic. La tentation est alors EN CHIFFRES grande de se connecter au % premier hotspot afchant du trac transitera en au moins trois barrettes, et Wi-Fi en 2015. (IPASS) non protg par un mot de Cest l que les enmillions passe. nuis commencent. de bornes Wi-Fi public Car savez-vous vraidans le monde en 2015. ment qui se cache der(INFORMA) rire ? Les faux hotspots sont une menace rpan% due. Lorsque vous effecdes appareils connects aux hotspots tuez une recherche des publics sont des rseaux accessibles dans smartphones. (INFORMA) un lieu public, un aroport ou un caf, ils sont classs % par force du signal. Mdes professionnels ez-vous alors des bornes nomades jugent intitules Wi-Fi gratuit , lInternet mobile vital. ou portant le nom du lieu (IPASS) o vous vous trouvez sil nest pas prcd dun cadenas. Il peut sagir dun appt, mme si la page de connexion qui souvre aprs lavoir choisi semble des plus lgitimes.

46

5,8 36

En effet, rien nest plus facile pour un pirate que de contrefaire un rseau. Il lui suft de connecter un routeur USB WiFi 3G que lon peut se procurer pour quelques dizaines deuros sur nimporte quel site marchand un PC portable. Lavantage (ou linconvnient) de ce type de botier est quil supporte plusieurs connexions simultanes. Ainsi quip, un fraudeur install quelques mtres de vous est capable denregistrer le trafic Wi-Fi de toute une salle. Et il est en mesure de drober vos identiants et vos mots de passe de connexion au rseau de votre entreprise, votre compte de messagerie, votre banque, etc. Le sujet de ces faux hotspots revient trs souvent dans les confrences de scurit. Pourtant, il faut reconnatre quils ne sont pas trs courants dans les lieux publics , nuancent Rmi Chauchat et Julien Reveret, consultants et formateurs en scurit Wi-Fi au sein du cabinet HSC. Le problme, cest quils pourraient bien le devenir.

Les aroports gurent parmi les lieux de prdilection des pirates.

Mme un amateur peut usurper un rseau

Car depuis quelque temps, un simple smartphone suft pour monter un faux rseau, en utilisant une technique la porte de nimporte quel amateur. Lan dernier, une application pour tlphone Android, opportunment appele Fake Hotspot, a fait son apparition sur la boutique en ligne Google Play au prix trs attractif de 0,99 euro. Elle permettait de simuler les hotspots communautaires des oprateurs Free, Bouygues

88

Telecom et SFR. Et fournissait ainsi le moyen de rcuprer les identiants de connexion des abonns et dusurper ensuite leur identit. La seule limite de cette appli : elle ne peut accepter plus de deux connexions simultanes. Il a fallu quelques semaines Google pour retirer ce logiciel litigieux de sa boutique en ligne. Mais tout internaute un peu curieux la retrouve facilement sur des sites spcialiss. Do la mise en garde deRmi Chauchat et Julien Reveret : Tout le monde doit garder lesprit quun appareil nomade connect un rseau sans l public nest pas sr. Lavertissement est dautant plus judicieux quune autre menace plane sur les utilisateurs de Wi-Fi, connects cette fois de vrais hotspots : le snifng (reniement, en franais). Cette technique de piratageconsiste couter le trac laide dun matriel spcialis, voire dun simple ordinateur portable convenable-

42.01 BUSINESS

01B_2165_042_043_DOSS WIFI.indd 42

03/04/13 18:37

Cinq conseils pour minimiser les risques

TROMPEZ-VOUS DIDENTIFIANT Lorsque vous vous connectez un hotspot Wi-Fi, saisissez de fausses donnes la premire fois. Sil sagit dun pont daccs pirate, il ne relvera pas lerreur. Et vous, vous saurez quil faut vous mer. VRIFIEZ LE NOM DU RSEAU Dans un lieu public, demandez un responsable la conrmation de lidentiant exact du hotspot officiel du lieu (SSID).

SURFEZ EN MODE HTTPS Vriez que, dans votre navigateur Internet, ladresse de la page dauthentication ou de connexion un hotspot public dbute bien par HTTPS (et non par HTTP). Un cadenas saffiche alors en bas de la fentre ou ct de ladresse. EVITEZ LES SITES SENSIBLES Sur un hotspot Wi-Fi public, ne vous connectez pas avec vos identiants personnels un site dentreprise non scuris, une banque ou des sites au contenu sensible requrant des informations professionnelles ou personnelles (le site des impts, par exemple);

4 5

PRIVILGIEZ LA 3G Avec un smartphone ou une tablette pro, optez pour les connexions 3G. Sur un portable, dsactivez le partage de chiers. Annulez les connexions automatiques et dsactivez le Wi-Fi si vous ne vous en servez pas.

JEAN-MARC GIMENEZ

WWW.01 BUSINESS.COM.43

01B_2165_042_043_DOSS WIFI.indd 43

ISTOCKPHOTO

ment configur. Le cyberespion commence par tout enregistrer, mme les donnes chiffres. Puis, une fois rentr chez lui, il a le temps de les dcrypter, condition dtre quip dun matriel de pointe. La mthode est sophistique, mais elle est la porte de toute personne qui sy intresse. Il est facile de trouver des informations sur Internet pour la mettre en uvre , soulignent Rmi Chauchat et Julien Reveret. Airtight Networks, une socit amricaine qui commercialise des solutions de Wi-Fi scurises, a fait la dmonstration pour CNN des ravages du snifng laroport dHeathrow (Londres). Avec un PC portable et un simple logiciel de snifng tlcharg sur Internet, tous les dtails des changes alentour, non scuriss, taient alors apparus en clair lcran. Personne nest labri, dautant que lors dune tude sur la vulnrabilit du Wi-Fi, le mme Airtight Networks a

constat quen moyenne, 59 % des utilisateurs de hotspots Wi-Fi dans les aroports passent par des connexions Internet non scurises.

Le rseau priv virtuel, une parade efficace

Face ces menaces, la prcaution de base en situation nomade consiste surfer uniquement sur des sites crypts au moyen du protocole scuris HTTPS. Pour la plupart des usages, ce nest pas une contrainte, puisquil est adopt par des sites et des services Internet tels que Facebook, Twitter, Gmail, Outlook.com, Google Drive, Skydrive ou encore Paypal. Mais la meilleure parade reste le rseau priv virtuel (ou VPN, pour Virtual Private Network). Ce logiciel intermdiaire, mis en place par lentreprise pour assurer les changes avec elle, sintercale

entre vous et son rseau an den assurer la condentialit. Les communications entre le PC connect un hotspot Wi-Fi public et le serveur VPN de lentreprise sont chiffres, rendant ainsi quasi inexploitables les donnes ventuellement rcupres par snifng. Pour beaucoup dentreprises, le VPN est dj entr dans les murs, explique-t-on chez HSC. Mais encore faut-il que les salaris en comprennent lintrt et quils ne cherchent pas, par confort ou par paresse, le contourner. Il demeure donc indispensable de sensibiliser rgulirement les collaborateurs nomades aux questions de scurit, par le biais doutils pdagogiques comme des courriels internes rguliers ou des campagnes de posters afcher dans les locaux. Car il suft quune seule personne baisse la garde une fois pour que schappent dans la nature les informations les plus sensibles.

03/04/13 18:38