Vous réalisez des prestations de protection des systèmes d’information auprès des TPE, PME et ETI. Sont-elles les plus ciblées ?
Oui, d’après ce que je constate. Ce sont elles les plus ciblées, du directeur général jusqu’au au technicien de maintenance.
Quelle est la plus grande cyber-menace ?
L’ingénierie sociale. Cela consiste à cibler des fonctions de support, comme la comptabilité ou la maintenance. Les pirates veulent réaliser une opération de fraude, une extorsion de fonds ou nuire à l’entreprise en compromettant par exemple ses bases de données de paye ou de règlement des factures fournisseurs. Il suffit de 5 à 10 jours. Mais sur 10 entreprises qui subissent ce type d’attaque, seules 1 ou 2 restent debout.
Comment font les pirates ?
Il suffit d’obtenir l’identifiant et le mot de passe d’accès au système d’information (SI) de l’entreprise. Par exemple, en volant le smartphone ou le PC portable d’une personne de l’entreprise. Les logiciels qui cassent les mots de passe ont besoin de 3 à 10 minutes pour 4 caractères, 45 heures pour 6 caractères, 2 à 3 mois pour 8 caractères. Il faut savoir que le logiciel qui casse le mot de passe utilise la puissance du téléphone portable volé !
Les pirates ne volent pas toujours les PC portables ou les smartphones…
Effectivement. Un de mes clients, qui venait de remporter un gros appel d’offres en Pologne, se fait aborder dans la salle d’embarquement à l’aéroport avant de reprendre l’avion pour Paris par une très belle femme. Celle-ci lui demande de recharger la batterie de son smartphone sur son ordinateur portable. Elle pouvait aussi bien lui aspirer ses données que lui en injecter. C’est d’ailleurs ce qu’elle fait. Elle injecte alors des quantités de photos pédo-pornographiques dans l’ordinateur du commercial français. Juste avant l’embarquement, le malheureux fait alors l’objet d’un horrible schéma de délation frauduleuse auprès des douanes qui l’arrêtent. Evidemment, mon client a perdu son gros contrat !
Faut-il se méfier des systèmes de rechargement des smartphones ?
Certaines bases de rechargement de smartphones siphonnent carrément le contenu des portables dans les hôtels, les aéroports, les gares et même les salons professionnels. Mieux vaut avoir son équipement ou sa batterie de secours ! Mieux vaut être autonome.
Peut-on se faire espionner en direct sans le savoir ?
Bien sûr, grâce aux signaux parasites compromettants. Le rayonnement électromagnétique de l’ordinateur peut être intercepté jusqu’à une distance de 20 mètres en temps réel par un pirate expérimenté. Il voit alors ce que projette l’écran de votre ordinateur en direct. Ce type d’espionnage passe par des chemins insoupçonnables : le pirate va à la cave, par exemple, et connecte une équipement spécifique sur une tuyauterie qui vont jusqu’à proximité de l’ordinateur ciblé. Par exemple, un radiateur. On se fait espionner sans le savoir. Pour se protéger de cette menace, il faut installer l’ordinateur à plus de 20 m à d’un radiateur a eau ou blinder l’équipement.
On vient de découvrir une faille très ancienne dans les ports USB. Quels sont les risques ?
Le principal risque, c’est le key-logger qui va envoyer par voie électronique au pirate les identifiants et mots de passe ainsi que tout ce que l’utilisateur tape sur son clavier. De leur côté, les émulateurs de hot-spot (Wifis publics) sont tout aussi insidieux. Le smartphone ou le PC portable s’y connecte mécaniquement. Si le pirate émule toute une rangée de hot-spots publics, il obtient toutes les informations sur les utilisateurs qui s’y connectent. Par exemple, il simule la page de connexion d’un établissement de la restauration rapide ou d’une enseigne d’hôtel, l’utilisateur s’y connecte et tape ses mots de passe… Rien de plus simple ensuite que d’usurper son identité… Le smartphone est une vulnérabilité critique. On peut rajouter des couches applicatives pour limiter les possibilités d’intrusion aux seuls les attaquant de haut niveau. Mais le risque n’est jamais supprimé.
On entend pas mal de critiques au sujet des applications Androids téléchargées sur Google Play…
Oui il y a une menace de malware dans ces applications. Apple a la charte la plus aboutie et Amazon est entre les deux. Dans tous les cas, il existe des failles. Il faut ne télécharger que les applications qui sont notées, celles qui font l’objet de retours d’expérience. Si l’on remarque quelques avis négatifs, cela semblera plus vraisemblable. S’il n’y a que des avis positifs, attention, danger !
Côté sécurité, les systèmes RFiD sont-ils aussi solides que ce que l’on croit ?
Paiement sans contact, badge de contrôle d’accès… avec un lecteur RFiD portable, on lit tout ce qu’on veut à 30 ou 60 cm de distance. Par exemple, en passant mon bras à proximité du sac de la cible. Et, avec un logiciel adapté, le pirate réécrit sur une carte chinoise aussi bien une carte bancaire de paiement sans contact qu’un badge de contrôle d’accès. Et comme très peu de sociétés assure la convergence entre contrôle d’accès, vidéosurveillance et biométrie, les pirates disposent de large plages de manoeuvre. Surtout dans les PME et ETI. Certes, il existe de nouveaux systèmes MyFare à chiffrement lourds mais cela implique de changer les lecteurs et les badges. Il faut toujours calculer le rapport entre l’investissement nécessaire et le risque acceptable.
Propos recueillies par Erick Haehnsen
Commentez