Ex
cyber-flic, expert en sécurité, aujourd'hui pdg
de Lexsi, Joël Rivière s'est entretenu une heure
avec les internautes qui étaient au rendez vous
du "JDNet Chat". Le monopole de Microsoft, la
sécurité des banques, le profil des hackers, la
menace des virus, les meilleures façons
de progresser en sécurité informatique,
le rôle du gouvernement et quelques questions
plus personnelles : la discussion fut dense. Compte-rendu.
JDNet
Chat
|
|
Invité
: Joel Riviere, PDG-fondateur de
Lexsi (voir
son parcours) |
Date
: mercredi 10 octobre, 18h-19h15 |
Nombre
de questions posées : 269 |
Nombre
de questions retenues : 66 |
|
Joël Rivière
: Bonjour à tous, et merci à JDNet de
m`inviter à répondre à vos questions.
Bonsoir
monsieur Rivière ! Plusieurs questions
: Engagez vous des pirates dans votre entreprise
?
Non pas pour l'instant, mais peut-être plus
tard lorsque ces jeunes auront un peu mûri et
qu'ils auront les idées claires.
Vous
n'êtes plus gendarme ?
Si, je suis toujours gendarme, mais dans un
statut un peu particulier qu'on appelle "être
en disponibilité". Mais je n'ai plus de pouvoirs
de Police Judiciaire.
Quel
est le pire dossier de sécurité sur lequel vous
avez travaillé ?
Une affaire de perte financière très importante
de plus de 400 millions de francs au niveau international.
Ne
dramatise-t-on pas excessivement l`impact des
attaques virales pour les entreprises ?
Oui, on a tendance à dramatiser et ce n'est
pas que pour les virus, car on pense à tort que
plus on en fera, plus on vendra de sécurité. Ce
qui est faux.
Croyez-vous
à une menace virale planétaire ?
Il est tellement facile de fabriquer des virus
à l'heure actuelle que je pense qu'il y aura toujours
des soucis avec les petites bestioles comme les
virus et les chevaux de Troie. Par contre, peut-être
pas planétaire car on saura les contrer en quelques
heures.
Y
a-t-il à votre connaissance des grandes entreprises
ou des institutions hautement vulnérables ?
Tout à fait, puisqu'à l'heure actuelle on
fait 6 ou 7 audits ou tests par semaine et on
se rend compte qu'il y a encore d'énormes failles
de sécurité dans de grandes entreprises.
Franchement,
ouvrez-vous les pièces jointes de vos mails ?
Oui des fois. Mais...
Depuis
les attentats aux USA, avez-vous mis en place
un dispositif particulier de surveillance du web
?
Il nous a été demandé une partie de notre
expertise pour travailler dans ce domaine...
Avec
tout ce que vous savez sur la cyber-criminalité,
osez-vous payer en ligne ?
Oui, parce que les risques existent, certes,
mais le plus important est de savoir quelle confiance
vous accordez à votre vendeur.
Les
firewalls sont-ils une bonne solution de sécurité
?
Oui et non. Oui parce qu'ils sont obligatoires.
Et non parce que certains se sentent en sécurité
parce qu'ils ont un firewall sans s'en occuper,
ce qui est pire dans certains cas.
J`ai
vu que vous participiez à Interpol. Quelle y est
votre mission ?
J'étais chargé, dans un groupe de travail,
de tout ce qui était technique autour des intrusions.
On
dit souvent que les utilisateurs de Mac ne sont
jamais touchés par les attaques virales. Est-ce
exact ? Pourquoi ?
Les utilisateurs de Mac sont moins attaqués
que les autres. C'est normal, le système est beaucoup
moins ouvert et Apple ne possède que 6% de parts
de marché.
Quel
est votre point de vue sur le monopole Microsoft
? N'est-ce pas une faille énorme ?
C'est le premier éditeur pour lequel il existe
d`innombrables failles de sécurité. Mais ceci
est aussi dû au fait qu'ils possèdent les
trois quarts des parts de marché des logiciels
sur PC.
Croyez-vous
que Windows XP réponde aux nouveaux critères de
sécurité ?
A l'heure actuelle, il y a une amélioration
constante de la sécurité chez Microsoft qui a
compris que c'était un enjeu stratégique. XP en
fait partie mais n'est toujours pas au point en
matière de sécurité.
Constatez-vous
une recrudescence des fraudes à la carte bleue
sur le Net ?
Attention à ce sujet. Oui il y a une recrudescence
de fraudes, mais seulement au niveau de l'utilisation
d'un numéro de carte bancaire. C'est de la fraude
à la VPC traditionnelle.
La
crypto est d`actualité et notamment sa libre utilisation.
Votre avis sur la question ?
Pour avoir servi des deux côtés de la barrière
il est impossible, pour moi, d'être pour ou contre.
Il y aura de toute façon d'énormes avantages et
inconvénients.
Pensez-vous
que les banques en ligne soient suffisamment protégées
du point de vue de la sécurité ?
No comment...
Le
système Linux serait-il plus "résistant" aux intrusions
?
Il a été considéré comme étant l'OS le plus
résistant. Mais depuis quelque temps, on assiste
à des découvertes de failles dans les systèmes
Linux.
Si
un hacker s'attaque à votre ordinateur, savez-vous
remonter jusqu`à lui ?
On n'est jamais sûr de remonter sur un hacker.
Le maximum que l'on puisse faire est remonter
sur une machine.
Comment
avez-vous atterri dans la sécurité informatique
?
Ca fait 21 ans que je fais de l'informatique
et depuis 15 ans je me suis plongé dans le monde
de la sécurité surtout grâce à mes anciennes fonctions.
Quel
est le niveau informatique demandé à
un policier ou gendarme pour entrer dans un groupe
de recherche des délits informatiques ?
Il n'y a pas de niveau informatique minimum.
Mais il y a des entretiens d'embauche très pointus
en informatique, en particulier réseaux et OS.
Quel
est selon vous le meilleur antivirus du marché
?
Pour moi il n'y a pas de bon ou de mauvais
antivirus. Il n'y a que de mauvais installateurs
ou des utilisateurs qui ne sont pas à jour.
Réalisez-vous
des tests intrusifs ?
Oui, énormément.
Que
pensez-vous des entreprises qui engagent des hackers
pour tester leur sytéme ?
Pourquoi pas si elles ont toute confiance
en eux, qu'ils ne passeront jamais à la concurrence,
qu'ils ne bidouilleront jamais sur le système
de l'employeur...
Combien
de hackers avez-vous arrêté en France ?
Désolé, mais j'ai toujours un devoir de réserve
important dans ce domaine. (Entre 1 et 100).
N'avez-vous
pas l`impression de faire un boulot un peu occulte
?
Absolument pas. Par contre extrêmement passionnant
et très formateur pour nos ingénieurs.
Que
risque un hacker ?
Des peines de prison pouvant aller jusqu'à
plusieurs années, et des amendes supérieures au
million de francs.
Je
suis client d`une banque en ligne et votre absence
de commentaire sur leur sécurité m'inquiète beaucoup.
Merci de ne pas me laisser dans le doute Svp !
Quel est le niveau du risque ?
Cela dépend vraiment de l'organisme, mais
je ne peux pas vous dire lesquels sont sérieusement
sécurisés et les autres, pour des raisons de confidentialité
évidentes.
Comment
une entreprise peut-elle savoir qu'elle est régulièrement
visitée ?
C'est un problème crucial de savoir "travailler"
ses logs afin de détecter les vraies attaques.
En
France y a-t-il beaucoup d`intrusions "réussies"
dans les grandes entreprises ?
Je pense qu'il y a beaucoup d'intrusions réussies
mais beaucoup moins de détectées...
Je
suis en train de choisir un service d'audit en
mode ASP. Que me conseillez-vous et que pensez-vous
de ce genre de services ?
Dans certains cas, c'est complémentaire mais,
à la base, il faut conduire un bon audit et être
très à jour en matière de vulnérabilités pour,
seulement après, faire de l'audit en mode ASP.
Car celui-ci ne sera jamais complet. Rien ne vaut
le mode manuel surtout quand on contrôle les applications.
Quels
sont les pays les plus menaçants en matière de
cyber-sécurité ?
Les pays de l'Est, l'Israël et quelques coins
en Asie...
On
dit que les universités sont des plaques tournantes
pour les hackers. C`est vrai ?
Pour beaucoup
oui, car les élèves sont plus doués que les administrateurs
dans certains cas.
Vos
missions peuvent-elles servir des affaires judiciaires
?
Tout à fait. Et il nous arrive fréquemment
de faire des rapports qui serviront de preuves
en matière judiciaire.
Quels
bouquins conseillez-vous sur la sécurité ?
Surtout les guides d'administration...
Quel
sont vos sites préférés ? Vos logiciels préférés
?
Les sites de sport mécanique. Et mon OS préféré
est tout ce qui tourne autour de xBSD.
Comment
peut-on vous contacter ?
Le contact de Lexsi est info@lexsi.com
Vérifiez-vous
le parcours des gens qui travaillent pour vous
?
Bien évidemment, et dans le contrat de travail
ils doivent être habilités Confidentiel Défense.
Les
services de mails gratuits sont-ils suffisamment
sécurisés selon vous ?
Non. Mais c'est gratuit...
Avez-vous
déjà eu l'occasion de conseiller France Télécom
en matière de sécurité ?
Oui, mais pas que France Télécom. Et nous
avons pratiquement travaillé avec tous les opérateurs
français importants.
Est-ce
que vous pensez que les autorités publiques
sont assez compétentes pour retrouver un
hackeur ?
Ils sont compétents... mais pas assez nombreux.
Quel
est votre fournisseur d`accès perso (donc le plus
sûr) ?
Je n'en parlerai pas ici, mais nous avons
fait un audit complet chez eux avant de nous engager.
Les
sites dédiés aux hackers (zataz.com par ex) sont-ils
une bonne source d`information pour vous ?
Oui, une excellente source. Il y a des gens
très bons techniquement dans ces zines...
Que
pensez-vous du futur passage en IPv6 ? Est-ce
que ce protocole est plus sécurisé que l`actuel
?
Bien sûr, c'est beaucoup plus sécurisé. Surtout
sur la partie authentification, mais on n'est
pas près de voir un déploiement d'IPv6.
Vos
affaires ont-elles augmenté depuis le 11 septembre
?
Non, parce que je me refuse à faire du commercial
autour des attentats. Mais, bien sûr, la demande
a continué de croître.
Etes-vous
en charge de la sécurisation des sites officiels
(ministère, gouvernement, présidence) ?
Oui dans certains cas...
Est-ce
que la prise de conscience en matière de sécurité
est assez grande à votre avis ? Faut-il attendre
une grave attaque pour en prendre réellement conscience
?
Non la prise de conscience n'est pas assez
grande en France. Cela a tout de même beaucoup
évolué, mais on attend encore trop l'incident
pour parler sécurité.
En
ce moment, quel type d'affaires traitez-vous ?
Beaucoup de problèmes avec les employés en
interne.
Que
pensez-vous des rencontres de hackers comme par
exemple le defcon ? Vous y rendez-vous vous-même
?
Ce sont des "super" réunions où
on y apprend beaucoup de choses. Nous nous y rendons
régulièrement.
Pensez-vous
que les risques existent pour l`informatique mobile
(PDA, téléphone Wap...) ?
Bien sûr. Mais pour
le moment, une fois de plus, on crée un risque,
alors que la menace n'existe pas encore.
Pensez-vous
qu'en France le marché de la sécurité des systèmes
d`information va exploser ces prochaines années
ou au contraire va-t-il perdre de la vitesse ?
Je ne pense pas qu'il va "exploser", mais
il va continuer de croître de façon importante
car la sécurité est omniprésente dans la vie de
tous les jours... comme l'informatique.
Franchement,
êtes-vous convaincu que les éditeurs de logiciels
et solutions antivirus n'ont rien à voir avec
les pirates auteurs de virus ?
Oui, j'en suis convaincu.
On
parle aux USA des écoutes téléphoniques à grande
échelle, pensez-vous qu'en France cela puisse
être fait?
Devoir de réserve. Je n'ai pas le droit de
parler de ce sujet.
A
votre avis, quel type de virus est le plus dangereux,
celui qui se déploie par les boîtes mails ?
Non, car on est capable aujourd'hui de créer
des virus dans des pages HTML, ce qui est encore
plus grave.
L'anonymat
sur Internet existe-t-il vraiment ou est-ce une
utopie ?
Bien sûr que c'est une utopie. Par contre,
pour une personne lambda il n'y a pas de soucis
particuliers tant qu'elle ne commettra pas de
délits.
Que
pensez-vous de l`accessibilité des programmes
de hack sur le net et de la facilité de les utiliser
?
De plus en plus, les pirates seront jeunes
grâce à ces "script kids", et cela fait énormément
de dégâts parce que ces jeunes n'ont pas de connaissances
réelles.
Pensez-vous
que les FAI préviennent suffisament leurs clients
sur la sécurité ?
Beaucoup de FAI disent faire de la sécurité
et, une fois de plus, il y a de tout dans cette
population. Il y en a de très biens, et vraiment
des mauvais...
Y
a-t-il des périodes plus "favorables" aux menaces
informatiques ?
Oui, plus en période estivale, car on emploie
beaucoup de personnel stagiaire et les réelles
compétences de l'entreprise sont en vacances.
Pensez-vous
que tout doit être écouté dans l`intérêt
de la nation ?
Non...
Ne
croyez-vous pas que, vu le nombre de délits liés
à internet, la réponse du gouvernement face à
ce problème croissant soit limitée?
Tout le monde parle de priorités sur le plan
politique mais, dans les faits, il ne se passe
pas tout ce qui était prévu.
En
lisant vos réponses j`ai l`impression que, pour
les entreprises, la menace est surtout interne.
Est-ce vrai ?
Oui, la menace est pour beaucoup interne.
Mais, depuis quelques années, l'extérieur est
un point de vulnérabilité très conséquent.
Quels
sont vos trucs pour gérer les passwords ?
Vous apprenez une phrase par coeur (vous pouvez
même l'écrire) et vous prenez la première lettre
de chaque mot en y associant un caractère spécial
au moins.
Quelle
est votre grande passion cachée ?
Ma famille compte beaucoup, mais je suis aussi
passionné par le sport automobile.
Votre
équipe est-elle exclusivement masculine ?
Non. D'ailleurs je viens d'embaucher une fille
qui vient de finir un stage aux Etats-Unis.
Quelle
est votre page d'accueil au boulot et chez vous?
(franchement...)
Une photo de nos dernières vacances avec mon
épouse.
Avez-vous
regardé "Traque sur Internet" hier soir sur France
2 ? Le scénario est-il plausible ?
Oui, le scénario est plausible. Mais les difficultés
techniques sont facilement contournées ce qui
n'est pas la réalité.
Joël Rivière
:
Merci
a tous !
|