Fin décembre 2006, le Figaro fait la une de son supplément économie sur les dangers à venir en terme de sécurité informatique pour l´année 2007. Au total, plus d´une page, sur les 8 que compte ce supplément expose au grand public les raisons de craindre de sérieux problèmes.
Mais le danger ne peut-il pas aller au-delà de ce que nous livre ce journal ?Une impression de calme avant la tempête ...Depuis 4 ans, la rédaction de Mag Securs traite des questions de la sécurité informatique, systèmes d´information et réseaux. Nous avons certes connu les attaques Slammer et Blaster en 2003, mais depuis nous devions reconnaître que les choses se normalisaient et que les experts semblaient ne plus voir distinctement la menace prochaine.
Tranquillement occupés à discuter avec les meilleurs experts de la sécurité sur la terrasse d´un grand hôtel à Monaco le mois dernier aux Assises de la sécurité, nos propos tournaient autour de l´absence de menaces clairement identifiées. Nous avons survécu aux vers Slammer et Blaster, au passage à l´an 2000, à l´euro, à la grippe aviaire et même à l´effondrement du World Trade Center. La vulnérabilité découverte en juillet 2003, portant sur les stacks TCP/IP de nombreux équipements, dont l´ensemble des routeurs Cisco de la planète, n´a même pas eu le temps d´être exploitée et aucun ver n´a mis en danger l´Internet mondial alors que cela était techniquement assez facile à réaliser. Un déni de service mondial sur Internet était pourtant réalisable : c´est-à-dire un arrêt total et mondial du réseau Internet. Il est resté quasiment confidentiel, et pour ainsi dire inconnu du grand public à ce jour. Alors que craignons-nous vraiment aujourd´hui ? Nous ne le savons pas, ou ne le savons plus !
« C´est parce que le danger n´a jamais été aussi élevé et aussi proche qu´aujourd´hui » disait l´un de nos confrères, éminent expert en sécurité, et peut-être le plus sage de nous tous. « Si nous ne connaissons pas ce danger, nous sommes réellement très vulnérables. Il faut faire très attention ». Mais les experts en sécurité passent pour des paranoïaques, naturellement. Quel crédit donner à cet avis d´expert, de sage ou de fou ?
Des signaux inquiétantsMais, petit à petit des signaux s´allument et c´est ainsi qu´un journal à très grand tirage comme le Figaro reprend cette question en une de son supplément dans les derniers jours de l´année 2006.
Le spam représente plus des deux tiers des messages électroniques envoyés sur la planète (sur un total de 130 milliards de courriers journaliers). Des rapports plus alarmistes parlent de taux encore plus élevés en France. Une infime partie de ces courriers rapportant quelques dollars aux organisations criminelles représente des fortunes inestimables. La cybercriminalité pourrait générer plus d´argent que le trafic de drogue dans le monde. Et le monde serait presque prêt, une fois de plus, à douter de Microsoft qui équipe la quasi-totalité des ordinateurs personnels de la planète et à en faire un bouc émissaire, peut-être trop facile.
Tous ces éléments sont repris dans les multiples conférences de la profession. Nous les avons tous entendus. Pour autant, que concluons-nous ?
La menace n´est pas encore bien identifiée. Car les organisations criminelles que nous identiions ne recherchent que le profit : des escroqueries faciles d´utilisateurs naïfs très nombreux. Des sommes d´argent faciles et énormes ! Du profit mal acquis pour de nouvelles fortunes rapidement constituées dans les pays de l´est, en Asie, ou même dans le bassin méditéranéen.
La mise à mal des systèmes d´information mondiaux ne pourrait que leur causer des manques à gagner préjudiciables. Ces bandes organisées n´ont donc aucun intérêt à casser « la machine de l´économie numérique ».
et si la menace était encore plus grave ?Sauf si une organisation terroriste les payait fort cher pour ce faire. Elles deviendraient alors « sociétés de services » payée par un commanditaire qui poursuit d´autres fins. L´argent existe et circule, pour construire une bombe, artisanale ou atomique. Et le pire est alors à craindre.
Le spam, présenté aujourd´hui comme une grave menace par de nombreux acteurs, n´a encore qu´un impact limité.
Que se passerait-il si les milliers, ou centaines de milliers, voire des millions de PC zombies, équipés de fonctionnalités de téléphonie sur IP avec les offres triple play ou quadruple play des ISP, qui relaient aujourd´hui des spams vantant des produits pharmaceutiques, des sites pornographiques, des jeux de casinos et l´on ne sait quoi encore, se mettaient à appeler en masse les services téléphoniques d´urgence d´un ou de plusieurs pays ?
Nos systèmes et l´organisation de nos sociétés seraient mis à mal. Sérieusement ! Couplé à une attaque terroriste traditionnelle, une telle cyber-attaque participerait à un "big one" supérieur au 11 septembre 2001.L´alerte pourrait être plus sérieuse que l´on ne le croit. Des contre-mesures existent. Tous les experts les connaissent. Elles comprennent des solutions techniques, une formation et sensibilisation des utilisateurs, une implication réelle des directions informations informatiques dans les entreprises aux questions de sécurité et une lutte sans merci contre les circuits de blanchissement d´argent.
Dominique CIUPA, Directeur de la Publication Mag Securs