Professional Documents
Culture Documents
C
RAPHAEL DEMARET POUR 01BUSINESS
est un vrai cri dalarme qua pouss le Centre danalyse stratgique (CAS) dans une note publie le mois dernier. Selon lui, le dveloppement massif du cyberespionnage constitue une menace majeure pour lconomie franaise. Captation de savoirfaire, de pistes de recherche et dveloppement confidentielles, de donnes financires... Ce pillage est en cours dindustrialisation, la fois parce que la concurrence conomique mondiale est plus froce que jamais, et parce que le dploiement du numrique dans les entreprises les rend vulnrables aux cyberespions de tout poil. Selon le CAS, mme si lampleur du phnomne est impossible mesurer prcisment, il est urgent de sentourer de prcautions : La plupart des grandes entreprises et des administrations ont trs probablement dj t victimes dintrusions des ns despionnage , estimet-il. Si la criminalit numrique (virus, attaques contre des infrastructures, dtournement de donnes bancaires...) provoque des dgts immdiatement identiables, une campagne despionnage est, par principe, invisible. Les outils utiliss par les cyberespions pour tout connatre de votre
SOMMAIRE
P.34
Interview:Les entreprises doivent rompre la loi du silence. Christian Harbulot, directeur de lEcole de guerre
conomique, fait le point sur les lacunes hexagonales.
P.36
P.39
P.40
P.42
32.01 BUSINESS
01B_2164_034_037_DOSSIER 4 OUV.indd 32
04/04/13 11:08
!
Christian Harbulot, le directeur de lEcole de guerre conomique, invite les entreprises franaises la vigilance face au vol dinformations.
n e.
WWW.01 BUSINESS.COM.33
01B_2164_034_037_DOSSIER 4 OUV.indd 33
04/04/13 11:08
Dossier
activit sont de plus en plus discrets et complexes , explique Nicolas Caproni, expert en scurit du cabinet BSSI. O les trouvent-ils ? Les diteurs spcialiss dans la conception de logiciels dintrusion, tels que lAmricain Netragard ou le Franais Vupen, ne cdent leurs trouvailles ofciellement qu des gouvernements ou de grandes organisations. Mais il existe un march parallle trs structur. Sur Internet, des places de march clandestines mettent en concurrence des dizaines de hackers indpendants qui y coulent leurs trouvailles, tels ces programmes mouchards sautodtruisant aprs un certain dlai. Selon le laboratoire de virologie et de cryptologie oprationnelles de Les PME dinginnovantes lcole nieurs Esiea, le constituent cot dun code des cibles trs malicieux a t divis par cinq prises depuis 2004. Il se situerait dans une fourchette de 20 000 250 000 dollars. Une mise vite rentabilise dans le cas dun piratage de brevet ou de lobtention dun appel doffres. Douce illusion. Pourtant, rares sont les entreprises ayant vraiment pris conscience du danger. Les dirigeants estiment souvent que seules les activits stratgiques (militaire, arospatiale...) sont menaces. Cest une illusion, afrme Nicolas Caproni. Toutes les socits peuvent tre victimes de cyberespionnage, et en particulier les PME innovantes qui constituent des cibles trs intressantes pour des Etats trangers ou des concurrents. Mais on lignore, car lorsquune entreprise dcouvre (le plus souvent par hasard) quelle a t pirate, la loi du silence lemporte , affirme Christian Harbulot, le patron de lEcole de guerre conomique. Dcouvrez dans notre dossier comment les pirates sapproprient vos informations sensibles et quelles prcautions prendre pour leur compliquer la tche. Inquitant ? Dites-vous, comme Andy Grove, le fondateur dIntel, que seuls les paranoaques survivent... DIDIER GNEAU
hristian Harbulot est le directeur de lEcole de guerre conomique (EGE) quil a fonde en 1997 avec le gnral Jean Pichot-Duclos. Chaque anne, ltablissement forme une centaine dexperts en intelligence conomique. Elev en 2008 au grade de lieutenant-colonel de rserve, cet expert, auteur de nombreux ouvrages (Il nous faut des espions, La Main invisible des puissances ou Le Manuel de lintelligence conomique) fut en 1994 lun des principaux contributeurs au rapport Martre qui a pos les bases de lintelligence conomique franaise. Pour 01 Business, il fait le point sur les mesures que doivent prendre les entreprises franaises an de garantir leur scurit.
Le phnomne du cyberespionnage est-il aujourdhui exagr ? CHRISTIAN HARBULOT: Non, je dirai mme quil est sous-valu. Nous nous trouvons confronts une monte en puissance sans prcdent de la criminalit informatique. Lapparition de nouveaux outils numriques, comme les smartphones ou les rseaux sociaux, multiplie les failles potentielles. Le vol dinformations est de plus en plus facile et, surtout, de moins en moins risqu. Sait-on pour autant mesurer prcisment le niveau rel du cyberespionnage ? Non, malheureusement, car les entreprises, et particulirement les PME, nont pas conscience de ces risques. Beaucoup dentre elles ignorent mme tout simplement quelles sont observes. Dans les affaires rcentes de cyberespionnage, la Chine a souvent t pointe du doigt. Est-ce une ralit? CH: Il est vident que les Chinois ne sont pas larme au pied en matire de cyberguerre et de cyberespionnage. Oui, lempire du Milieu est une menace, mais prenons garde ne pas la diaboliser trop vite. En matire dintelligence conomique, il est toujours difcile de prouver qui fait quoi. En revanche, ce qui est certain, cest que nous sommes dsor-
34.01 BUSINESS
01B_2164_034_037_DOSSIER 4 OUV.indd 34
04/04/13 11:09
respionnage ? Lorsquil sagit dactivits stratgiques pour les intrts vitaux franais, la rponse est vidente. Mais que faire quand cela concerne dautres secteurs dactivit ? Il convient de dnir un champ lgal dobservation. La question nest pas anodine, loin de l.
Vous voquez galement un problme culturel dans les entreprises...
WWW.01 BUSINESS.COM.35
01B_2164_034_037_DOSSIER 4 OUV.indd 35
CH: En effet. On observe un dni des risques lis au vol dinformations. Les procdures de scurit sont perues comme dgradant le confort dutilisation des communi cations ou des rseaux. Dire quelquun de protger son poste de travail par un code de huit chiffres est vcu comme une agression. On voque aussi souvent les contraintes que cela fait peser sur la productivit et la comptitivit.
Quels sont, aujourdhui, les points faibles numriques des entreprises ? CH: Les nouveaux outils technos mlangent allgrement le personnel et le professionnel. Cela peut avoir des consquences catastrophiques. Il faut chercher dissocier ces deux aspects. En termes de communications et de flux dinformations, intgrons le fait quune interception est toujours possible. Ainsi, si vous craignez dtre cout lors dun rendez-vous important, nhsitez pas retirer la puce de votre mobile. Mettre toute linformation de lentreprise sur un terminal mobile reprsente un autre danger. Quelles consquences si je perds mon portable ? Quels sont les moyens de rendre inactif ce terminal distance le plus vite possible ? Mme un simple carnet dadresses et un agenda complet dans un smartphone
sont des informations en or. A priori, si un boulanger se fait voler son agenda, les consquences seront minimes. Mais lorsquon exerce de multiples activits, cela peut devenir trs pnalisant. Un juste milieu est ncessaire entre paranoa et dsinvolture.
Que recommandez-vous aux entreprises ? CH: Il est impratif quelles prennent conscience de la valeur du capital que reprsentent leurs informations sensibles. Puis, quelles cherchent savoir quelles donnes sont rendues publiques sur leur site Web ou sur les rseaux sociaux par les salaris. Reste enn identier les menaces venant de la concurrence et raliser un audit de leur systme dinformation. Alors seulement, elles pourront tablir des rgles de bon sens en matire de scurit. PROPOS RECUEILLIS PAR
04/04/13 11:09
Dossier
PC DE BUREAU
hez Nortel, cela aura dur presque dix ans ! Un programme malveillant implant dans les ordinateurs de sept dirigeants a systmatiquement transfr toutes les informations stratgiques de lquipementier tlcoms canadien un concurrent, jamais officiellement identi. Rvle lan dernier, cette affaire de cyberespionnage pourrait tre la cause des difcults de Nortel, jusqu sa faillite en 2009. Plus rcemment, en janvier dernier, cest le New York Times qui dbusquait un logiciel espion sur les PC de 53 de ses journalistes. Presque tous couvraient les sujets lis lAsie, et tout particulirement la Chine. Pour deux cas de piratage reconnus, ce sont des milliers qui demeurent tus, ou ne sont jamais dcouverts. Lattaque cible de postes de travail informatiques est devenue la voie royale de lespionnage , explique Nicolas Caproni, expert en scurit du cabinet BSSI. Oprationnels pendant des mois ou des annes, rarement dtects par les antivirus, les lo-
giciels espions sont de moins en moins chers. En fouillant sur les forums spcialiss du Web, il est ais dacheter des malwares cls en main , assure lexpert. Pour un cyberespion, la seule difcult majeure est dimplanter ce mouchard chez sa victime. Une opration dlicate, qui repose souvent sur une vulnrabilit humaine. Il existe ainsi cinq mthodes principales pour piger des utilisateurs imprudents ou crdules.
1000
Le courrier lectronique demeure le canal le plus utilis , afrme Grome Billois, directeur du dpartement scurit de Solucom. Quil sagisse dun e-mail aguichant, destin attirer la personne cible sur un site internet pig, ou dun document en pice jointe, contenant le code malicieux. Dans ce cas, une mthode rpandue consiste appter la victime en usurpant le nom dun responsable des ressources humaines. Le message contient alors un chier infect nomm politique salariale ou
primes , tmoigne ce spcialiste. Une autre variante, plus sophistique, sappuie sur la surveillance distance des changes de courriels. Lastuce consiste alors se faire passer pour lun des interlocuteurs dans une discussion de travail contenant un document rvis chaque tape, puis dinfecter la pice jointe. Une mthode quasi imparable, dont le ministre des Finances a fait les frais il y
36.01 BUSINESS
01B_2165_036_38_DOS-Poste.indd 36
03/04/13 19:00
A
Les cyberespions lont compris : les PC des salaris sont des proies faciles.
LA DURE PENDANT LAQUELLE LE VIRUS RED OCTOBERA ESPIONN DES MILLIONS DORDINATEURS
5ans
30euros
vant dintroduire un logiciel malicieux dans une entreprise ou de rcuprer des informations stratgiques auprs dun collaborateur imprudent, les cyberespions ont besoin deffectuer une phase de reconnaissance an didentier les maillons faibles de lorganisation. Pour lenquteur priv Fabien Franceschi, du cabinet EIA, une analyse ne des prols Linkedin ou Viadeo des salaris est une vritable mine dor. Parmi les diffrents critres passs au crible par ce spcialiste de lintelligence conomique, on trouve lanciennet, les liens hirarchiques, les volutions professionnelles... Dans le cadre dune mission daudit de scurit, ralise pour un cabinet de consultants, le dtective avait remarqu que les promotions taient majoritairement accordes lors de la premire et de la quatrime anne de carrire. Les salaris dus pouvaient devenir des cibles prioritaires. Javais galement observ que 42% des consultants non promus la premire anne quittaient lentreprise. Un vivier idal dexemploys exploiter.
a peu : en mars 2011, un PDF pig envoy par e-mail un fonctionnaire de Bercy a entran la contamination en cascade de 150 ordinateurs par un logiciel conu pour siphonner des informations sur le G20. Ce mouchard a svi plusieurs mois avant dtre dcouvert. Son crateur court toujours... Il est possible de limiter les dgts dus ce type dattaques. Grome Billois prconise linstallation sur les PC de bureau dun dispositif appel bac sable, qui sert ouvrir les pices jointes dans un espace isol du systme dexploitation du poste de travail. Trend Micro, FireEye ou Damballa proposent notamment ce type de fonction.
A moins de dclencher une guerre diplomatique, il est difcile de ne pas donner suite une requte lectronique dun
WWW.01 BUSINESS.COM.37
01B_2165_036_38_DOS-Poste.indd 37
AARON GOODMAN
collgue vous invitant rejoindre son groupe damis sur Facebook. Cest par ce stratagme quun collaborateur de la prsidence de la Rpublique franaise sest fait piger au printemps 2012. Un pirate ayant usurp le profil Facebook dun autre fonctionnaire de lElyse a rapidement convaincu sa cible de tester, en avant-premire, une version exprimentale de lIntranet de la prsidence. Le lien indiqu dans le message conduisait de fait une fausse pageWeb, rplique exacte de loriginale. Ny voyant que du feu, la victime a innocemment tap son identiant et son mot de passe. Le tour tait jou ! Une fois ces prcieuses informations rcoltes, le cyberespion pouvait sans problme accder au systme dinformation de la prsidence. Il en a prot pour injecter un ver informatique fait maison . Ne possdant pas de signature reconnue, il tait indtectable par lantivirus. Plus tard, lenqute a rvl que
ce code malveillant permettait de collecter des fichiers, de raliser des captures dcran et dactiver le microphone de certains postes de travail. Si le pirate na jamais t identi, beaucoup dexperts afrment que seuls les services secrets amricains taient capables dune opration aussi rafne. Certes, les cyberespions nont pas tous ce niveau technique. Mais crer un faux prol Linkedin ou Viadeo pour soutirer quelques informations stratgiques dans le cadre dchanges anodins est la porte de nimporte qui.
La technique, dj ancienne, est toujours aussi efficace : quand des cls USB de huit gigaoctets tranent le matin sur le parking de lentreprise, rares sont les salaris qui rsistent la tentation de les ramasser puis de les connecter pour en
04/04/13 12:04
Dossier
Et si, pour obtenir les informations dun utilisateur, il sufsait tout simplement de les lui demander de vive voix ? Cest tout lenjeu du social engineering, une forme despionnage qui exploite les failles humaines et non plus techniques. Larnaque tlphonique est une mthode prouve : Allo, ici le service informatique. Je vois quil y a eu une tentative dintrusion sur votre compte. Je dois procder une rinitialisation de votre mot de passe. Pouvez-vous me conrmer vos informations ? Oui, bien sr ! Un autre scnario consiste se faire passer pour un utilisateur et faire croire au service informatique quon a oubli
38.01 BUSINESS
01B_2165_036_38_DOS-Poste.indd 38
03/04/13 18:35
ISTOCK
achez-le: le disque dur dun poste de travail jet la poubelle est une mine dor pour un cyberespion! Autant le dire, un reformatage du disque ne sert rien. Mme si les donnes semblent effaces, ce nest quune apparence. Elles restent en fait toujours accessibles physiquement via certains outils. Des moyens plus efficaces existent. Le plus radical consiste plaquer un aimant sur le disque dur. Cette mthode a le mrite de casser les pistes magntiques et de les rendre dnitivement inutilisables. Toutefois, en cas de revente ou de
don de PC, le logiciel gratuit Ccleaner peut se rvler utile. Son fonctionnement est simple: il va rcrire de fausses informations sur le disque en effectuant plusieurs passages (jusqu 35, sil le faut). Le temps de lopration dpendra du volume
initial de donnes, mais cela peut durer une dizaine dheures. Dans le cas o lon veut se dbarrasser de plusieurs centaines dordinateurs ou de disques durs, mieux vaut faire appel des socits spcialises comme Kroll On-Track ou Chronodisk.
Quand les autres mthodes ont chou, le cyberespion a encore la possibilit de pntrer dans lentreprise pour tenter daccder physiquement au poste de travail de la personne cible. Mme si ce procd semble particulirement risqu, Fabien Franceschi, du cabinet de dtectives privs EIA, assure que cest un jeu denfant. Ce spcialiste de lintelligence conomique est rgulirement sollicit par des socits an de tester leurs procdures de scurit et rentrer incognito dans leurs locaux. Il suffit de se faire passer pour quelquun qui a quelque chose dimportant faire, quil sagisse dune livraison de eurs, de pizzas ou dun dpannage quelconque, pour tromper les services de gardiennage et russir se balader dans tous les bureaux , assure Fabien Franceschi. Afin de prouver quil a russi accder lordinateur dun salari, le dtective va jusqu exltrer des donnes en dupliquant des disques durs ou en branchant une cl USB 3G sur une machine pour en prendre le contrle distance. Selon Fabien Franceschi, accrotre la scurit informatique passe donc galement par un durcissement des modalits daccs aux locaux de lentreprise et une meilleure sensibilisation des quipes de gardiennage ce type de risques. L encore, lhumain reste la meilleure dfense contre les cyberespions. STPHANE BELLEC
Les imprimantes aussi ont un talon dAchille: leur disque dur, qui enregistre les documents produits.
WWW.01 BUSINESS.COM.39
01B_2165_039_DOS Imprimante.indd 39
ISTOCK
treprise grce une simple recherche sur Google , assure lexpert Nicolas Caproni, du cabinet BSSI. Pour le cyberespion, cest une porte dentre idale. Lorsquil ne peut voir que le nom des documents en attente dimpression, les consquences restent minimes. Mais quand une faille de scurit permet de charger les documents imprims, comme cest arriv lan dernier avec des modles Samsung, cela devient critique. En novembre 2011, deux chercheurs de luniversit de Columbia avaient dj mis jour une faille sur les laserjet de HP donnant un accs au rseau dentreprise. Un type de vulnrabilits dautant plus critique que les logiciels de scurit nanalysent que rarement les imprimantes. Pche miraculeuse. La parade est technique, et ncessite au moins linstallation dun pare-feu ainsi quun suivi rgulier des mises jour du rmware, le logiciel interne de limprimante. Il faut galement veiller tablir une procdure stricte lors du changement de matriel dimpression, mme si celui-ci est en location, en preLes paroles senvolent, les crits restent. Imprimer un nant soin deffacer son disque dur. document peut avoir des consquences insouponnes. Et Si limprimante est correctement scurise, le cyberespion naura alors dautre si le papier reprsentait la premire des failles de scurit ? choix que de se rabattre sur... le papier ! Sil parvient entrer dans les locaux de lentreprise, la pche peut tre fructueuse. e chiffre est alarmant : 63 % Pour la consultante Sharon Fisher, Selon Canon et linstitut BVA, 20 % des des entreprises reconnaisancienne analyste de Gartner Group, salaris franais ont dj trouv des dosent avoir perdu des doncette ngligence est dautant plus dom- cuments confidentiels dans le bac des nes condentielles cause mageable que plus les priphriques imprimantes. Recourir un systme de dune mauvaise gestion de dimpression deviennent intelligents, plus carte avec code PIN pour rcuprer ses leurs imprimantes, selon ils sont vulnrables . De fait, ces appa- impressions vite quelles ne sempilent une tude rcente mene par le cabinet reils multifonctions, capables dimpri- et tombent entre de mauvaises mains , Quorcica et lditeur Nuance. Pourtant, mer, de copier, de scanner et de faxer, recommande Grome Billois, directeur seules 22 % des socits europennes sont dots de disques durs qui du dpartement scurit du caafrment avoir scuris leurs systmes enregistrent limage des docuCertaines binet de conseil Solucom. dimpression. Pourquoi une telle inertie ? ments produits. Pour le chanDemeure encore un risque : imprimantes La quasi-majorit des responsables ceux qui mettrait la main sur la fouille des poubelles. Dans sont scurit interrogs prtexte des chanlun de ces supports de stocune enqute de 2008, le Craccessibles doc avait rvl que deux tiers plus prioritaires. Cest oublier que kage, cest lassurance de rlorsque les messageries, les postes de cuprer un beau paquet dinpar Google tiers des poubelles dun chantravail et les terminaux mobiles ont t tillon de 200 entreprises franformations exclusives. scuriss, les prcautions deviennent Autre point faible technique de ces ciliennes contenaient au moins un docucaduques chaque fois quune informaimprimantes : leur connexion au rseau ment condentiel. L encore, la solution tion confidentielle ou sensible est imdentreprise, pas toujours sufsamment est technique, mais pas informatique : un prime, facilement rcuprable par des scurise. Lors daudits, on arrive par- bon vieux broyeur de documents peut se curieux malintentionns. fois accder des imprimantes den- rvler trs efcace ! JEAN-MARC GIMENEZ
IMPRIMANTES
03/04/13 18:58
Dossier
S
D
ortir son smartphone de sa poche pendant un conseil dadministration, le mettre en mode silencieux et le poser sur la table... Voici un geste bien anodin qui ne semble gure prter consquence. Erreur ! Si lappareil a t pralablement pig, son micro sactive et capte la conversation sans que personne ne sen rende compte. Le mobile a lair inactif. Pourtant, des centaines de kilomtres de l, des oreilles indiscrtes coutent tout ce qui se dit. Ce scnario ne relve en rien de la science-ction. Il existe aujourdhui une multitude de technologies permettant despionner des personnes par lintermdiaire de leur tlphone, mais aussi de siphonner les contenus qui y sont stocks.
Certains de ces logiciels, dits dcoute environnementale, sinstallent directement sur lappareil. Selon Symantec, ces outils reprsenteraient plus de la moiti des applications malveillantes actives sur mobile. Une simple recherche sur Google, avec les mots cls espionnage et smartphone , permet de dcouvrir quelques-uns dentre eux la plupart, videmment, illgaux en France , parmi lesquelles vip13-Pro, Omegaspy, MB-Pro, Copy9, Spybubble ou encore GSMespion. Le descriptif de leurs fonctions est sans quivoque : activation du microphone, interception discrte des courriers lectroniques, des SMS et des messages instantans Blackberry Messenger, WhatsApp et Skype, accs aux contacts, aux notes... Le plus surprenant, cest que ces
de vulnrabilits exploiter pour les hackers. Des chiffres ont t communiqus par lditeur Trend Micro, et relays par lInstitut national des hautes tudes de la scurit et de la justice (INHESJ). Ils ont rvl quentre 2007 et
2012, la prolifration des iPhone, iPad et mobiles Android connects au systme dinformation des entreprises a engendr une augmentation de 35% du nombre dattaques par Internet et de 12% du piratage par courriels.
40.01 BUSINESS
01B_2165_040_041_DOSmobiles.indd 40
03/04/13 18:32
10 h 10
La victime se fait subtiliser son tlphone mobile sans mme sen rendre compte.
10 h 11
Une fois la carte SIM retire, lappareil ne peut plus tre dtect par loprateur. Il nest plus possible non plus den effacerle contenu distance.
10 h 21
Attaqu par un logiciel spcialis, le code de verrouillage, contenant seulement quatre chiffres, cde rapidement.
11 h 01
Trente quaranteminutes suffisent pour sapproprier toutes les donnes stockes sur le mobile. Le temps de casser les mots de passe daccs aux applications avant de copier les informations.
11 h 05
Si le mobile a t subtilis furtivement, lespion peut le replacer dans la poche de la victime, qui ny aura vu que du feu.
WWW.01 BUSINESS.COM.41
01B_2165_040_041_DOSmobiles.indd 41
ISTOCK - MAXPPP
courir des solutions de chiffrement des communications GSM . Avec un impratif : Que lapplication soit installe sur les mobiles de tous les interlocuteurs, sans exception. Cette contrainte rduit alors le primtre de protection aux seuls salaris de lentreprise et aux partenaires volontaires pour utiliser le mme systme de chiffrement. Cellcrypt, Ercom, ou encore Teopad, commercialisent de tels logiciels de chiffrement des communications tlphoniques. Enn, dfaut dcouter les conversations, une personne malintentionne a toujours la possibilit de rcuprer les informations contenues dans lappareil en le subtilisant. En 2011, 70 millions de smartphones ont t perdus ou vols dans le monde, rvle le fournisseur informatique Kensington. Seuls 7 % dentre eux ont retrouv leur propritaire. En dcembre dernier, la Direction centrale du
renseignement intrieur franais (DCRI) a dmontr, lors dun congrs du Club des directeurs de scurit des entreprises (CDSE), quun smartphone vol larrach pouvait tre vid de toutes ses donnes en moins dune heure. Une opration ralisable avec un logiciel capable de casser le code de verrouillage et dextraire les informations de lappareil, au prix de quelques centaines deuros.
dantivirus sur leurs terminaux nomades. De mme, trois organisations sur quatre ne chiffrent pas les donnes inscrites sur leurs quipements mobiles. Cest un vrai problme, particulirement avec les modles Android , estime Renaud Bidou, directeur technique de lditeur DenyAll. En effet, les applis qui fonctionnent sous ce systme dexploitation sont moins contrles que celles pour iPhone. La solution adopter en priorit ? Une console de gestion des terminaux et des applications mobiles. Les DSI peuvent ainsi grer distance les applis installes sur leurs ottes de mobiles et procder automatiquement aux mises jour logicielles. Mais ces consoles ont un autre avantage : elles sont capables deffacer distance tout le contenu dun smartphone perdu ou vol. Une intervention pratiquer systmatiquement ds quun mobile est port disparu. EDDYE DIBBAR
03/04/13 18:32
Dossier
RSEAUX WI-FI
Sachez reprer les hotspots bidons
Besoin de vous connecter au cours dun dplacement ? La prudence simpose. Car il est facile de se laisser abuser par un rseau contrefait et de livrer ses donnes un indiscret.
our prs de neuf personnes sur dix, le Wi-Fi est le mode de connexion prfr pour surfer sur Internet en situation de mobilit. Trouver un rseau disponible est le premier rflexe des cadres en voyage daffaires. Pour 88 % dentre eux, cest mme aussi vital que leau ou llectricit, selon une tude iPass ! Mais cest parfois un casse-tte. Dans son dernier rapport, ce spcialiste de la mobilit montre que la moiti des professionnels nomades prouvent des difcults trouver un accsWi-Fi puLE WI-FI blic. La tentation est alors EN CHIFFRES grande de se connecter au % premier hotspot afchant du trac transitera en au moins trois barrettes, et Wi-Fi en 2015. (IPASS) non protg par un mot de Cest l que les enmillions passe. nuis commencent. de bornes Wi-Fi public Car savez-vous vraidans le monde en 2015. ment qui se cache der(INFORMA) rire ? Les faux hotspots sont une menace rpan% due. Lorsque vous effecdes appareils connects aux hotspots tuez une recherche des publics sont des rseaux accessibles dans smartphones. (INFORMA) un lieu public, un aroport ou un caf, ils sont classs % par force du signal. Mdes professionnels ez-vous alors des bornes nomades jugent intitules Wi-Fi gratuit , lInternet mobile vital. ou portant le nom du lieu (IPASS) o vous vous trouvez sil nest pas prcd dun cadenas. Il peut sagir dun appt, mme si la page de connexion qui souvre aprs lavoir choisi semble des plus lgitimes.
46
5,8 36
En effet, rien nest plus facile pour un pirate que de contrefaire un rseau. Il lui suft de connecter un routeur USB WiFi 3G que lon peut se procurer pour quelques dizaines deuros sur nimporte quel site marchand un PC portable. Lavantage (ou linconvnient) de ce type de botier est quil supporte plusieurs connexions simultanes. Ainsi quip, un fraudeur install quelques mtres de vous est capable denregistrer le trafic Wi-Fi de toute une salle. Et il est en mesure de drober vos identiants et vos mots de passe de connexion au rseau de votre entreprise, votre compte de messagerie, votre banque, etc. Le sujet de ces faux hotspots revient trs souvent dans les confrences de scurit. Pourtant, il faut reconnatre quils ne sont pas trs courants dans les lieux publics , nuancent Rmi Chauchat et Julien Reveret, consultants et formateurs en scurit Wi-Fi au sein du cabinet HSC. Le problme, cest quils pourraient bien le devenir.
88
Telecom et SFR. Et fournissait ainsi le moyen de rcuprer les identiants de connexion des abonns et dusurper ensuite leur identit. La seule limite de cette appli : elle ne peut accepter plus de deux connexions simultanes. Il a fallu quelques semaines Google pour retirer ce logiciel litigieux de sa boutique en ligne. Mais tout internaute un peu curieux la retrouve facilement sur des sites spcialiss. Do la mise en garde deRmi Chauchat et Julien Reveret : Tout le monde doit garder lesprit quun appareil nomade connect un rseau sans l public nest pas sr. Lavertissement est dautant plus judicieux quune autre menace plane sur les utilisateurs de Wi-Fi, connects cette fois de vrais hotspots : le snifng (reniement, en franais). Cette technique de piratageconsiste couter le trac laide dun matriel spcialis, voire dun simple ordinateur portable convenable-
42.01 BUSINESS
01B_2165_042_043_DOSS WIFI.indd 42
03/04/13 18:37
TROMPEZ-VOUS DIDENTIFIANT Lorsque vous vous connectez un hotspot Wi-Fi, saisissez de fausses donnes la premire fois. Sil sagit dun pont daccs pirate, il ne relvera pas lerreur. Et vous, vous saurez quil faut vous mer. VRIFIEZ LE NOM DU RSEAU Dans un lieu public, demandez un responsable la conrmation de lidentiant exact du hotspot officiel du lieu (SSID).
SURFEZ EN MODE HTTPS Vriez que, dans votre navigateur Internet, ladresse de la page dauthentication ou de connexion un hotspot public dbute bien par HTTPS (et non par HTTP). Un cadenas saffiche alors en bas de la fentre ou ct de ladresse. EVITEZ LES SITES SENSIBLES Sur un hotspot Wi-Fi public, ne vous connectez pas avec vos identiants personnels un site dentreprise non scuris, une banque ou des sites au contenu sensible requrant des informations professionnelles ou personnelles (le site des impts, par exemple);
4 5
PRIVILGIEZ LA 3G Avec un smartphone ou une tablette pro, optez pour les connexions 3G. Sur un portable, dsactivez le partage de chiers. Annulez les connexions automatiques et dsactivez le Wi-Fi si vous ne vous en servez pas.
JEAN-MARC GIMENEZ
WWW.01 BUSINESS.COM.43
01B_2165_042_043_DOSS WIFI.indd 43
ISTOCKPHOTO
ment configur. Le cyberespion commence par tout enregistrer, mme les donnes chiffres. Puis, une fois rentr chez lui, il a le temps de les dcrypter, condition dtre quip dun matriel de pointe. La mthode est sophistique, mais elle est la porte de toute personne qui sy intresse. Il est facile de trouver des informations sur Internet pour la mettre en uvre , soulignent Rmi Chauchat et Julien Reveret. Airtight Networks, une socit amricaine qui commercialise des solutions de Wi-Fi scurises, a fait la dmonstration pour CNN des ravages du snifng laroport dHeathrow (Londres). Avec un PC portable et un simple logiciel de snifng tlcharg sur Internet, tous les dtails des changes alentour, non scuriss, taient alors apparus en clair lcran. Personne nest labri, dautant que lors dune tude sur la vulnrabilit du Wi-Fi, le mme Airtight Networks a
constat quen moyenne, 59 % des utilisateurs de hotspots Wi-Fi dans les aroports passent par des connexions Internet non scurises.
entre vous et son rseau an den assurer la condentialit. Les communications entre le PC connect un hotspot Wi-Fi public et le serveur VPN de lentreprise sont chiffres, rendant ainsi quasi inexploitables les donnes ventuellement rcupres par snifng. Pour beaucoup dentreprises, le VPN est dj entr dans les murs, explique-t-on chez HSC. Mais encore faut-il que les salaris en comprennent lintrt et quils ne cherchent pas, par confort ou par paresse, le contourner. Il demeure donc indispensable de sensibiliser rgulirement les collaborateurs nomades aux questions de scurit, par le biais doutils pdagogiques comme des courriels internes rguliers ou des campagnes de posters afcher dans les locaux. Car il suft quune seule personne baisse la garde une fois pour que schappent dans la nature les informations les plus sensibles.
03/04/13 18:38