Cybersécurité : interviews d'experts

interview d'experts de la cybersécurité

Jean-François Beuze : "L'arrivée de la 5G va démultiplier les risques liés à l'Internet des Objets"

Jean-François Beuze est le Président de la société de cybersécurité Sifaris

Vous cherchez actuellement à attirer l'attention sur les risques liés à la 5G ? Qu'en est-il ?

Jean François Beuze

Dès cette année, nous sommes engagés dans une course au déploiement de la 5G. Or, cette arrivée de la 5G soulève de fortes préoccupations en terme de cyberattaques. A ce jour, cette technologie présente de nombreuses problématiques de sécurité. Une réunion organisée à l'Union européenne au mois de mars 2019 faisait déjà état de ces préoccupations. Cette 5e génération sera encore plus rapide que la précédente, mais elle reprend malheureusement les défauts des anciennes générations 3 et 4G. Des failles de sécurité qui n'ont pas encore été corrigées sur la 4G ont été reportées sur la 5G. Une équipe de chercheurs américains affirment avoir déjà découvert 11 failles sur ce nouveau réseau !

En quoi consistent ces failles ?

Ces 11 failles existantes laissent filtrer la localisation, les conversations téléphoniques, les SMS, la navigation Web. Mais ce ne sont que quelques-unes des vulnérabilités connues aujourd'hui. L'Union européenne en est consciente : nous allons déployer un réseau 5G déjà truffé de vulnérabilités tout en sachant qu'un très grand nombre d'objets IOT (Internet of Things) vont se connecter...

Google Home, Amazon Echo et HomeKit sont concernés ?

Les appareils sous Android ou iOS sont bien évidemment concernés. Déjà aujourd'hui, j'aime à dire que je préfèrerais perdre ma carte bleue que mon téléphone. Parce que dans mon téléphone - je le considère comme un objet connecté parce qu'il est connecté à la 4G, - il y a énormément de données importantes : les différentes cartes bleues, les codes d'accès Paypal et ce genre de choses. Demain, les opérateurs vont disposer d'une plateforme adéquate pour délivrer de la 5G pas seulement aux smartphones mais à tous les objets connectés de la maison : ampoules, fours, réfrigérateurs, détecteurs d'inondation, etc. Il en est de même pour les compteurs électriques connectés de la maison, comme le Linky. Déjà en 2020, on estime qu'il y aura plus de 50 milliards d'objets connectés (IOT) dans le monde, en comptant les bornes d'Amazon, Google et Apple. Cela concerne aussi des objets plus inattendus comme les pompes à essence qui deviennent une des sources de piratage informatique. Comme avec tout objet connecté, on n'aura pas besoin de payer via une carte physique, on pourra le faire à distance.

Quelle est la position de l'Union Européenne sur ce sujet ?

L'Union européenne a mandaté chaque pays membre en vue d'établir un rapport sur les exigences en matière de sécurité applicables au niveau des fournisseurs. Ils voulaient avoir une évaluation des risques, ainsi que les mesures à prendre. Le rapport établi en fin d'année 2019 sur le déploiement de la 5G parle clairement des risques d'attaques, avec des multiplications de points d'entrée potentiels. Que ce soit dans la base logicielle, les failles de sécurité, etc.

Est-ce les risques présentés dans le rapport remis à l'Union Européenne pourraient retarder la mise en place de la 5G ?

Hélas non. En France comme aux Etats-Unis, la 5G a déjà commencé à être déployée. Du coup, en haut lieu, on se dit :

"On pourra corriger par la suite ".

Pourquoi ? Parce que l'Union européenne dans son rapport a indiqué que la 5G rapportera d'ici 2025, 225 milliards d'euros. Ce n'est pas neutre pour eux. On ne réfléchit pas sur les erreurs du passé, on fait toujours la même erreur : sous la pression commerciale, on préfère déployer. Nous devons aller vite parce que d'autres pays sont en train de s'équiper de la 5G, et nous risquons alors d'être en retard. Et donc, les iOT pourront se connecter encore plus facilement, plus massivement, sur le réseau de cette 5e génération. La rapidité constituait une barrière. Elle saute aujourd'hui ce qui fait qu'un un grand nombre d'objets connectés pourront se brancher directement sur cette nouvelle technologie.

Que faut-il faire ? Refuser la 5G tant que ces failles n'ont pas été corrigées ?

C'est un peu comme le paiement sans contact : au départ, il était envisagé de n'imposer aucun plafond de paiement. Les plateformes d'e-commerce comme Amazon n'étaient pas adaptées pour demander le cryptogramme derrière la carte, les numéros pouvaient même être dérobés par un simple passager bien équipé dans le métro pour qu'il puisse par la suite acheter des articles sur Internet. Et puis, sous la pression des consommateurs, des mesures de protection ont été imposées. Donc la riposte doit venir des particuliers et du pouvoir législatif, il faut dire : non, on ne peut pas déployer la 5G tant que l'on n'est pas capable de prévenir les usagers des risques de vol de données. Il est indispensable que l'ensemble de l'industrie s'aligne sur de bonnes pratiques de sécurité et l'Union Européenne puisse taper du poing et contraindre les fournisseurs en cas de risque potentiel.

(...)

Qui est Sifaris ?

Sifaris est une société spécialisée dans le domaine cyber, particulièrement dans l'audit d'intrusion (pen testing). Implantée à Paris, Montréal et Tunis, la société s'occupe également de tout ce qui est réponse à incident, re-médiation et sensibilisation, ainsi que formation à la cyberattaque, pour le monde de l'entreprise. , avec un laboratoire en cybersécurité à Tunis en partenariat avec l'université Esprit.

Le site de Sifaris.

 

Voir aussi : 10 mythes sur la 5G.

Sylvain Cortes - "On ne peut pas lutter à 100% contre une primo-infection, mais on peut empêcher sa propagation"

Security Evangelist chez Alsid

L'activité d'un Security Evangelist consiste à réaliser des conférences, écrire des articles, effectuer des présentations et webinars, ou à effectuer de la R&D en sécurité.

Qu'est-ce qui distingue les rançongiciels d'autres types de maliciels ?

La catégorie générale du type de code que l'on appelle les 'malwares' se répartit selon 3 types d'objectifs différents :

1. Occasionner un 'déni de service' et donc un arrêt d'un système. C'est ce que l'on a connu aux tous débuts des virus, quand on se passait des disquettes.

2. Voler des données qui seront ensuite revendues au marché noir : des mots de passe, de données d'entreprise (une recette de production, un brevet…)

3. Les ransomwares / rançongiciels dont l'objectif est l'extorsion de fonds. Un chiffrement des données est occasionné par le malware. Il intègre une interface qui permet de payer pour récupérer ses données. Actuellement, aux USA, il y a beaucoup d'attaques de ce type sur les services publics : villes, hôpitaux…

Pourquoi est-ce que les ransomwares sont si répandus récemment ?

Parce qu'ils coupent les intermédiaires et permettent à ceux qui pratiquent cette extorsion de demander directement une rançon à la société visée. Et la différence, c'est que dorénavant, ils agissent sans se soucier de la taille des entreprises. Auparavant, l'attaque était opérée 'manuellement' sur une entreprise précise. A présent, tout est automatisé.

Avez-vous rencontré des cas concrets ?

J'ai un ami avocat qui m'a appelé il y a déjà deux ans pour me dire :

"je ne comprends pas, je n'arrive plus à accéder à mes fichiers. Quand je redémarre l'ordinateur, ça ne fonctionne plus. "

Je suis allé voir et effectivement, il avait eu un ransomware. Or, ce qui m'a étonné, c'est de voir l'interface qui avait été réalisée - c'était la première fois que je voyais cela. Elle était très professionnelle. Tout le PC est chiffré à l'exception d'un fichier HTML que l'on peut ouvrir - adapté à toutes les langues possibles - avec la procédure complète à suivre : télécharger un navigateur TOR, se rendre sur un site du Darknet, payer en bitcoins… Tout était expliqué, pas à pas, de façon à ce que n'importe qui soit en mesure de payer. C'est ce qui m'avait marqué. A présent, il y a même moyen d'être en relation directe, par chat, avec ceux qui ont chiffré les données pour négocier la rançon.

Un message à faire passer aux entreprises comme aux particuliers ?

Personnellement, je pense qu'on ne peut pas lutter à 100% contre la primo-infection. C'est illusoire. Par contre, on peut empêcher sa propagation. En d'autres termes, accepter que 2 ou 3 PC ou Macs soient infectés mais empêcher que le ransomware chiffre toute l'informatique. On peut mettre en place des défenses qui limitent la dissémination du ransomware.

Ce qu'il faut comprendre, c'est que les ransomwares exploitent de mauvaises configurations système. Pour ceux qui savent faire, il est simple de désactiver un antivirus - il suffit qu'un utilisateur clique sur un lien douteux, ouvre une pièce jointe inadéquate, etc. Dans une entreprise, quand on fait des tests, on trouve couramment des centaines de personnes qui vont cliquer sur des emails de phishing. Il faut dire aussi que ces simulations de site Web sont de mieux en mieux réalisées. Avant, on trouvait des fautes d'orthographes, des parties en russe, anglais… De nos jours, vous avez réellement l'impression de vous retrouver sur le site d'une société comme Microsoft par exemple. La typographie est exactement la même, idem pour le code couleur, il existe même des certificats amenant à croire que le site Web est sécurisé… Il est donc presque impossible de se rendre compte que c'est un fake - même pour quelqu'un dont c'est le métier, c'est compliqué.

Ce qu'il faut, en revanche, c'est avoir configuré son système afin que l'infection ne puisse pas s'étendre.

La société Alsid

Les serveurs, les postes et les mobiles de 95 % des entreprises mondiales sont gérés par un système central : Active Directory. Celui-ci est très attractif pour les cyberassaillants. Les attaquants d'un réseau utilisent Active Directory pour se répandre dans toute l'entreprise. L'édition de logiciel Alsid a été fondée en vue de traiter cette problématique. Son premier rôle consiste à surveiller en temps réel que Active Directory est correctement configuré. Et son second rôle est de détecter des attaques sur l'Active Directory, toujours en temps réel.

Le site de la société Alsid.

Pour en savoir plus

Qui ralentit le PC ?

Logiciels pour protéger et accélérer son ordinateur

Quel antivirus choisir ?

Lexique de la cybersécurité

10 mythes sur la cybersécurité

Fil d'Ariane de la page

  1. Documents
  2. Cybersécurité - interviews d'experts