2010 fut l’année de Stuxnet, un ver informatique conçu non pas pour infecter l’ordinateur de monsieur tout le monde, mais plutôt pour prendre le contrôle d’installations industrielles et de centrales nucléaires. Oui, un peu comme SkyNet dans Terminator : on peut donc dire qu’un nouveau palier en matière de sécurité (ou plutôt d’insécurité) informatique a été franchi en 2010 .
Mais le plus intéressant en ce qui concerne Stuxnet n’est pas tant la complexité de son code, mais plutôt son caractère inédit : c’est le premier programme malveillant visant un type particulier de systèmes industriels . Tout aussi intéressante est la médiatisation sans précédent d’une histoire de virus. En termes plus clairs, en plus de bousculer les connaissances et les compétences des «experts» en sécurité informatique, Stuxnet a aussi été la première pagr d’un nouveau paradigme en termes de visibilité médiatique des attaques informatiques .
Un autre pallier allait être franchi dans l’année suivante. Stuxnet étant la tempête annonciatrice, 2011 fut un long et rude «hiver nucléaire de la sécurité informatique» où naquirent autant de vocations en hacking que de lettres de démission (ou de renvoi) d’administrateurs systèmes furent rédigées ou signées. Comme on peut le voir sur le Cnet Hacket Chart (https://sites.google.com/site/cnethackerchart/), il ne s’est pas passé un mois sans attaque pirate, souvent sur des cibles de premier ordre, et ce dans le but d’obtenir une exposition médiatique pour une cause ou un groupe d’hackers.
Prenons l’exemple de Sony. En un an, cette compagnie a connu :
- De multiples DDOS (Distributed Denial Of Service, une attaque visant à bloquer l’accès à un site web en le surchargeant de requêtes d’affichages de la page d’accueil) sur les sites web de ses différentes entités (Sony, Sony Style, le réseau Playstation, Sony Music, etc.)
- Des vols de données sur plusieurs de ses entités, la méthode variant entre l’injection SQL ( une technique de piratage consistant à exécuter des instructions d’interrogations de base de données sur des pages web mal formatées) et l’exploitation d’une faille XSS (Cross Site Scripting, une faille basée sur l’absence de vérification des données transmises par des formulaires ).
Il y a aussi eu du changement en ce qui concerne la motivation des attaques en 2011. Les attaques ont surtout servi à exposer les failles d’un système sur la place publique ou encore à publier des données sensibles sur le web et les médias sociaux, souvent en représailles à des actions de la société visée. Ainsi en 2011, la compagnie télévisuelle Fox, Sony (oui, encore), Newscorp (la société de Rupert Murdoch épinglée dans une histoire de …piratage d’écoutes téléphoniques), Nintendo, le sénat nord-américain et même la CIA ont fait les frais de groupes d’hackers tels Lulzsec , Anonymous et Antisec . Mais surtout, grâce aux médias sociaux, tout le monde l’a su.
Quid de l’Afrique, et plus particulièrement de la Côte d’Ivoire ?
Je vois beaucoup se dire : » Heureusement qu il n y a rien de tout chez nous . Oui, nous avons certes sous nos tropiques des spécialistes de l ingénierie sociale (ou pour parler ivoirien, des brouteurs), mais aucun hacker ou pirate. Je veux dire, soyons sérieux, le niveau des informaticiens ici ne leur permet même pas protéger correctement un routeur, donc on ne parle même pas de piratage« .
Bien sûr.
Sinon, pendant que vous vous berciez d’illusions, le contexte a changé.
La faute en incombe à ce qu’il convient de nommer «la grand’messe du hacking ouest africain», les Insecurity Days . Cette manifestation a permis de lever le voile sur ce groupe que beaucoup (y compris moi) pensaient être un mythe : les hackers ivoiriens.
Sans entrer dans les détails , on pu savoir que plusieurs grands noms de la téléphonie (deux en particulier), ainsi que les systèmes de gestion de contenu de plusieurs sites web gouvernementaux présentaient des failles de sécurité. Mieux encore, ces failles ont été exploitées à plusieurs reprises, et les conséquences auraient pu être désastreuses, n’eut été le sens civique des hackers et des personnes les conseillant .
Il existe un véritable underground des hackers ivoiriens, où on retrouve beaucoup de passionnés, d’étudiants, mais aussi des vendeurs de produits informatiques et aussi des monsieur tout le monde. A l’origine de ces vocations,, on retrouve les exploits d’IDAHC (le hacker derrière le piratage des données et du webzine d’orange), du Messie (gagnant des insecurity days, le genre de hacker qui réussit à pirater des satellites ), de Charly Costa (l’homme pour qui un grand nom de la téléphonie n’a pas plus de secret), le Code (hacker patriote); Son Tracker DPP (qui a besoin d’une barre de recherche Google pour pirater votre site web) et d’Hassouna (lui a juste besoin d’une clé usb), mais aussi une volonté de faire changer les choses, la sécurité informatique étant, pour l’instant, le cadet des soucis des administrateurs systèmes sous nos latitudes.
L’exemple le plus marquant (ou triste, c’est selon) de cet état des choses est le piratage à répétition du site web de SOTRA (la société de transport abidjanais). Pour l’histoire, le webmestre aurait été prévenu de l’existence d’une faille critique, mais n’aurait pas jugé utile de la corriger. En conséquence, en une semaine, le site à été défacé (acte consistant à réécrire le code d’un site web une fois qu’on a pu avoir un accès au serveur ou aux bases de données) par un hacker souhaitant protester contre le prix des billets. Ensuite, un autre hacker l’a re-defacé, et a pris le temps de laisser un billet pour notre ami le webmestre (qui, je pense a du mettre a jour son cv, ou ses connaissances).
En conclusion, la bulle a explosé. et c est une bonne nouvelle (non, non je ne suis pas un sadique.)
Il est bon que ces événements nous ouvrent les yeux sur 3 faits.
1 – L’insécurité informatique,ÇA CONCERNE A TOUT LE MONDE. A partir du moment où vous allumez votre ordinateur, vous êtes une cible potentielle. Et c’est pire si vous êtes un professionnel des technologies .
2 – Les politiques de sécurité de base SONT INEFFICACES. Oui, ça peut surprendre , mais :
- confier la sécurité d’une entreprise réalisant plusieurs millions de chiffres d’affaires au petit jeunot qui a un BTS et le payer 59 000 par mois,
- Installer un antivirus / firewalls récupéré sur BitTorrent sur l’ensemble des postes de l’entreprise;
- Ne pas protéger le wifi lorsqu’on est une banque;
ça peut créer des problèmes de sécurité …
3 – En parlant de ce qui marche pas, citons les sessions/conclaves/ateliers de réflexions, les conférences qui se terminent toujours de la même manière : des rapports de 40 pages et des réflexions sur le risque informatique. En réalité, ces ateliers ne servent en réalité qu’à créer des réseaux, mais on n’y apprend rien de nouveau.
Au diable les réflexions, l’heure du pragmatisme a sonné.
Cela dit, le tableau n’est pas si sombre que cela. D’une part les autorités ivoiriennes semblent avoir pris connaissance de la situation et sont entrés en contacts avec les instances organisatrices des Insecurity Days pour mener des actions allant au delà de la simple sensibilisation.
D’autre part, la révolution a commencé et (contrairement à ce qui est dit dans la chanson) elle sera télévisée : La première chaîne de télévision ivoirienne consacre désormais une lucarne matinale à N’Cho Yao (organisateur des Insecurity et Hacker Certifié, s’il vous plaît) pour faire de la sensibilisation sur le risque informatique.
Cela laisse augurer de sérieux changements, et peut être de lendemains meilleurs.
