Après l'attaque de samedi dernier,
le chat avec Joël Rivière, spécialiste
de cybersécurité, est tombé à
pic: évidemment le virus Sapphire a monopolisé
l'attention. Mais l'ancien commandant de gendarmerie
a commenté bien d'autres sujets : cyberterrorisme,
personnalité des hackers, protection des entreprises.
S'il ne fallait retenir qu'un conseil : employez des
produits simples et soyez à jour dans vos antivirus.
Il ne restera plus ensuite qu'à persuader les
internautes que faire ses emplettes sur Internet est
sans danger. Une autre paire de manches...
|
Invité
: Joël Rivière, PDG de Lexsi
(voir
sa fiche Carnet) |
Date
: Mercredi 29 janvier, 18h-19h10 |
Nombre
de questions posées : 232 |
Nombre de questions
retenues : 84 |
|
Joël Rivière : Bonsoir à tous.
Qui sont les hackers aujourd'hui
: des geeks isolés ou des organisations ?
Joël Rivière Il y a vraiment de tout, mais, encore
en France, beaucoup de gens isolés.
Faire tomber le réseau Internet
entier est-il techniquement possible (en attaquant les
serveurs DNS racines par exemple) ?
C'est toujours techinquement possible, mais c'est fort
improbable. Grâce à une architecture technique
bien pensée c'est possible quand même.
Quelles étaient vos fonctions
avant de fonder Lexsi ?
De 1994 à 99, j'ai été lé chef du département informatique
électronique à l'institut de recherche criminelle de
la gendarmerie.
A force de traquer le cybercrime,
vous ne devenez pas un peu parano parfois ?
Absolument pas. Nous avons la chance de ne faire que
des études de cas concrets. Il ne faut surtout pas être
parano.
Comment est traitée la question
du cyberterrorisme par les autorités françaises ? Vous
avez une idée ?
Le cyberterrorisme est pris en compte en France ...
Mais il manque cruellement de moyens.
Vous êtes proche du pouvoir
?
Absolument pas.
Le problème des attaques n'est-il
pas lié, non à la qualité de la protection, mais surtout
à la faible qualité de conception des applications Internet
& informatiques en général ?
Effectivement, à l'heure actuelle, le plus gros des
problèmes pour moi est un problème de sécurité au niveau
applicatif.
Quels sont les systèmes de "cyberdéfense"
les plus efficaces ?
L'être humain.
Comment se fait-il que de grandes
entreprises se fassent pirater (hacker) par de simple
hacker ?
Parce que la sécurité est, une fois de plus, un problème
humain et que la prise de conscience n'est toujours
pas effective dans les grandes entreprises. De plus,
elles ne sont pas à jour en matière de failles de sécurité.
Avez-vous déjà pu photographier
des virus ?
Bien sûr !
Le cybercrime rejoint-il des
revendications politiques qui s'expriment actuellement
dans le monde ?
Pas à mon avis. Il y a quelques cas de déni de service
pour éviter de diffuser certaines informations, mais
la politique n'est pas très touchée dans ce domaine.
Bonjour. Serait-il possible
que cette attaque virale vienne d'entreprises vendant
de la sécurité (IBM, Microsoft...) ?
Non, je ne pense pas du tout.
Que pensez-vous de l'attaque
de samedi dernier ?
Très bon cas concret. Une fois de plus, on a exploité
une faille non mise à jour. Et, notez-le, à 99 %, les
problèmes de sécurité viennent d'une faille non patchée.
Monsieur Rivière, pensez-vous,
suite au piratage de ce week-end, que les internautes
vont avoir peur de payer par carte bancaire ?
Non, cela n'a rien à voir. Et, pour moi régler avec
une CB sur Internet est beaucoup moins dangereux que
de donner son numéro de CB au téléphone pour réserver
une chambre...
Existe-t-il des solutions simples
pour éviter le piratage ?
Oui : ne pas avoir d'informatique ...
Mais, plus sérieusement, avoir des produits simples
et être à jour est déjà un grand pas en avant en matière
de sécurité.
Des attaques vers les systèmes
informatiques de contrôle des aéroports, des centrales
électriques, etc. vous paraissent-elles 1) probables
2) possibles avec les moyens utilisés samedi par le
fameux ver SQL Sapphire ?
Pour moi, c'est du domaine du fantasme et, à mon avis,
restera au stade du fantasme, sauf à avoir une énorme
complicité en interne.
Les hackers sont-ils vraiment
dangereux ou s'amusent-ils seulement avec le réseau
?
Non, il y a vraiment de tout dans la population hacker
... des gens extrêmement bons techniquement et qui pourraient
être dangereux, et des gens extremement mauvais techniquement
qui peuvent être encore plus dangreux.
Vous avez déjà pu discuter avec
un hacker ? Si oui, dans quelles conditions ?
Oui, bien sûr, j'ai déjà pu discuter avec eux... Surtout
en garde à vue.
Pourquoi traquer les cyberhackers
alors que tout ce système est virtuel finalement
?
Parce que les dégâts, eux, sont réels et les pertes
financières bien présentes.
Quelle est votre dernière grande
frayeur ?
Découvrir, lors d'un audit, qu'il nous a fallu un quart
d'heure pour arriver au coeur d'un système dit "très
sécurisé".
Quel est le mobile des hackers
qui revient le plus fréquemment ?
Le jeu et la découverte des entrailles de l'IP.
Qui est derrière Sapphire ?
Comme d'habitude, quelques jeunes (à mon avis) en mal
de connaissances et de reconnaissance.
Quand avez-vous entendu parler
de Sapphire (jour, heure...) et comment avez-vous réagi
?
Pour nous, samedi matin. Et dans le cadre de notre veille
technologique, nous avons envoyé à tous nos abonnés
un point complet sur le virus (mode de fonctionnement
et comment l'éradiquer).
Avez-vous parfois peur pour
votre propre sécurité personnelle, vu votre exposition
publique ?
Non, parce que je n'ai pas de pouvoir particulier, je
ne suis qu'un chef d'entreprise essayant de faire avancer
la sécurité. Je ne me sens nullement quelqu'un avec
une exposition particulière.
Participez-vous (votre entreprise)
à la recherche de failles, notamment sur bugtraq
ou utilisez-vous tout simplement les outils disponibles
sur Internet durant vos tests de sécurité ?
Nous allons devenir CERT très prochainement et nous
découvrons personnellement des failles. Et nous développons
énormément d'outils pour nos tests.
C'est quoi CERT ?
Computer Emergency Response Team. Ce sont, dans le monde,
des équipes techniques capables d'intervenir rapidement
sur des problèmes de sécurité.
Le danger vient-il le plus souvent
de l'intérieur des entreprises ?
Oui, à l'heure actuelle l'intérieur est toujours plus
dangereux que l'extérieur. Mais cela a tendance à évoluer.
A titre personnel, vous êtes
plutôt du genre à vous protéger au maximum ?
On se protège ... en fonction de son travail et, bien
évidemment, nous essayons d'être le plus à jour possible
et de se protéger "comme il se doit".
Allez, un peu de franchise :
votre "dernière grande frayeur", c'était dans quelle
boite ?
Hélas, je commence à avoir des trous de mémoire (pensez
à mes clients !)
Crypter est-il plus important
que décrypter ? That is the question !
La crytpologie doit toujours être utilisée à bon escient
et il faut toujours prendre en compte que c'est une
technologie lourde lorsqu'on l'utilise massivement ou
à grande échelle.
Le Peer to Peer : structure
intéressante ou nid à problèmes ?
Cela a toujours été un nid à problèmes.
La vie serait triste sans les
attaques informatiques, non ?
Eh oui ! Mais, hélas, il y en aura toujours, et à mon
avis de plus en plus.
Que pensez-vous des réseaux
Wi-Fi et de leurs vulnérabilités latentes
?
Ce réseau est, bien évidemment, par défaut, très mal
sécurisé. Par contre, à l'heure actuelle, il est tout
à fait possible de sécuriser profesionnellement un réseau
sans fil.
Pensez-vous que le e-Commerce
est en danger ? Quelles précautions une boutique
en ligne doit prendre ? Ou bien, à votre avis,
on ne peut rien faire ?
Non, je ne le pense pas du tout, au contraire. Il existe
des précautions simples à prendre quand on a une boutique
en ligne et on peut tout à fait se sécuriser ... à moindre
coût. Par contre, il faut réellement gagner la confiance
des internautes.
Travaillez-vous encore avec
le gouvernement ?
Oui, je fais partie de plusieurs études sur la sécurité
informatique. Mais je n'ai plus aucun pouvoir, comme
avant. Ce ne sont que des avis ou des conseils.
Quel est le niveau technique
des services de renseignements français (DGSE, DST)
? Sont-ils à la pointe pour lutter contre les problèmes
informatiques liés au terrorisme ?
Ils sont, à mon avis, extrêmement pointus techniquement.
Y a-t-il un véritable
crime organisé qui utilise l'informatique comme moyen
de gagner sa vie ? Bref, un vraie Mafia "informatique"
?
Pas pour moi. Le rapport qualité-prix est encore inintéressant.
Vous n'avez pas l'air de craindre
beaucoup les hackers... alors le cybercrime, c'est pas
grand chose finalement ?
Eh si, nous craignons beaucoup les hackers ; surtout
ceux qui ne sont pas très bons techniquement.
Avec le 11 septembre 2001, l'Irak
(etc.), la menace d'attaque massive est-elle une réalité
?
Il est toujours possible d'imaginer ce genre d'attaque.
Mais, pour moi, c'est très improbable que cela arrive
un jour.
Pensez-vous vraiment que le
jeu soit la motivation des hackers ? N'est-ce pas plus
philosophique, voire politique ?
Non, non. Dans le temps, il prônaient la liberté totale
de l'information. Mais, maintenant - pour beaucoup -,
c'est plus ludique et pour montrer les failles de sécurité
que ceux-ci piratent.
Ah, si on pouvait renverser
Saddam avec un simple ver comme Sapphire... Ça
arrivera un jour ?
Ca serait bien et ça ferait peut-être remonter
la bourse.
Question élémentaire, mais c'est
quoi au juste un ver ?
C'est un morceau de code qui a un "effet de bord" et
qui se propage le plus souvent via la messagerie. Dans
l'effet de bord, il peut y avoir, par exemple, le changement
de quelques paramètres dans la base de registre de Windows.
Quel est le profil du client
Lexsi ?
Nous avons, à l'heure actuelle, à peu près 350 clients
que nous suivons en matière de sécurité à l'année. Et,
au départ, nous étions très orientés grands comptes.
Et, depuis quelques mois, nous essayons d'intéresser
les PME à la sécurité (avec des coûts moindres).
Il faut toujours essayer...
Embauchez-vous des techniciens réseaux ?
Oui ,tout à fait. Mais ayant déjà des connaissances
dans la sécurité.
Rendez-vous public vos recherches
sur les failles de sécurité et/ou vos outils comme beaucoup
d'autres entreprises de sécurite ou vous ne dévoilez
rien ? (je n'ai pas trouvé d'éléments à ce sujet
sur votre site Internet) ?
Oui, bien sûr, par exemple : tous les mois nous éditons,
dans "réseaux et telecom", le baromètre des
failles de sécurité du mois.
Faîtes-vous recettes dans
le vieux pot Lexsi ?
Lexsi va très bien, merci !
Vous avez parlez d'un système
très sécurisé : à quel niveau ? IP ou système
?
Ils avaient mis une énorme porte blindée... et juste
à côté des accès modem, en mode anonyme, sans aucun
mot de passe.
On dit souvent que les fabricants
d'antivirus suscitent parfois les virus pour vendre
leurs programmes. Cette idée a-t-elle une once de crédibilité
?
Pas pour moi. C'est beaucoup trop dangereux pour eux,
alors qu'ils ont déjà un business en or.
Quel est, selon vous, le meilleur
anti-virus du marché ?
Pour moi, il n'y a pas de meilleur antivirus. Il n'y
a que des antivirus non administrés ou non mis à jour.
Mais, par contre, personnellement, Kapersky est la meilleure
solution technique pour moi.
Le logiciel libre c'est mieux
protégé que le logiciel propriétaire ?
Pour moi, le libre est mieux protégé car on accède plus
facilement aux sources.
Est-il vrai que le Minitel est
encore moins bien sécurisé qu'Internet ?
Bien sûr ... Il n'y a aucune difficulté à pirater du
Minitel.
Mais ne comptez pas sur moi pour vous donner la recette
!
Je pense que la plus part des
réseaux dit "sécurisés" à l'heure actuelle
ne le seront plus dans quelques temps : vrai au faux
?
La sécurité est un problème de vigilence et si la vigilence
retombe, alors le niveau de sécurité décroit très rapidement.
En France, qui est généralement
à l'origine des actions de cyberespionage industriel
que vous pouvez observer ?
Les pays étrangers ... qui savent très bien que les
entreprises françaises ont des problèmes de sécurité.
Et, surtout, il faut que vous soyiez une cible. Posez-vous
la question : suis-je une cible pour l'étranger, oui
ou non ?
Hacker ne veut pas dire pirate
: il faudrait le dire !
Tout cela n'est qu'un problème de vocabulaire. Et chacun
met derrière le mot pirate ou hacker un petit peu ce
qu'il veut. C'est comme Firewall...
C'est très tendance : peut-on
parler "d'insécurité informatique" ?
Non ... on avance peut-être lentement, mais on avance.
Un hiver nucléaire de l'Internet
mondial est-il envisageable, paralysant toute l'économie
?
On peut tout imaginer. Mais, pour moi, c'est complètement
improbable.
Ouvrez-vous les pièces jointes
?
Oui... Après avoir fait quelques contrôles sur la source.
Vous télécharchez des MP3 ou
du DivX ?
Pas vraiment. J'ai beaucoup beaucoup de travail.
Je pense qu'avec l'évolution
des systèmes, il n'y a pas vraiment de sécurité ?
Bien sûr ... Les systèmes évolueront en permanence et
les failles seront toujours aussi présentes.
Quelle est la part d'attaques
informatiques venant de l'étranger dans les sociétés
françaises auditées ?
Cette part est relativement importante. Par contre,
elle n'est pas toujours d'origine "espionnage industriel".
Quelles ont été les plus grosses
sanctions ou peines que vous ayez vues lorsque vous
étiez dans la cyberpolice ?
Pas grand chose.
Quel est le virus (ou le ver)
qui vous a le plus impressionné ?
I love you.
Quand vous dites qu'il n'y a
que des antivirus non mis à jour, sous-entendez-vous
l'inefficacité des antivirus traditionnellement trouvés
dans le commerce ?
Mais non ! Pas du tout ! C'est la personne qui a acheté
l'antivirus qui ne le met pas à jour ! Et non pas l'éditeur...
Vous avez des caméras de surveillance
chez vous ?
Joker.
Combien êtes-vous dans
votre société ?
73.
Existe-t- il, selon vous, des
"nations" de pirates (Coréens ? Russes ? ) ? Lesquels
sont les meilleurs ?
Oui : les pays de l'Est, les Israëliens. Par contre,
eux, sont très bons en sécurité.
Selon vous, quelle part joue
l'informatique (message cryptés, ...) dans l'organisation
de réseaux terroristes ?
Elle va prendre de plus en plus de place.
A votre avis, il y a plus d'hommes
qui piratent ou c'est 50% d'hommes / 50% de femmes ?
Beaucoup plus d'hommes.
La signature électronique est-elle
un outil réellement efficace pour assurer la confidentialité
des échanges ?
C'est extrêmement efficace, mais ça n'assure
pas la confidentialité des échanges. On parle plutôt
d'intégrité et de non répudiation.
Que peut-on faire pour protéger
nos données efficacement ?
Ne pas les mettre en ligne.
Quel est votre ouvrage de référence
?
Sport auto.
Les FAI ont-ils un rôle à jouer
pour endiguer les virus ?
Je pense que oui. Et même plus, en matière de sécurité,
particulièrement sur les problèmes de Spam, par exemple,
ou d'attaques massives par déni de service.
Les services de paiement sécurisé
le sont-ils suffisamment (sécurisés) à votre goût ?
Sinon, quels risques ?
Oui. Les paiements deviennent de plus en plus sécurisés.
Le plus gros risque est la fraude au numéro de carte
bancaire, ce qui n'a rien à voir avec la fraude à la
carte bancaire. En effet, ce type de fraude, vous l'aurez
partout, même dans un magasin traditionnel.
Je repose ma question : "un
mouton du Net peut-il se faire tondre ?" : peut-on
prendre le contrôle de l'ordinateur d'un particulier
facilement ?
Oui, très facilement.
Est-ce facile de devenir hacker
?
Oui, bien évidemment. Tout est en libre service sur
Internet.
Pensez-vous que les solutions
de sécurité américaines sont liées à échelon
et favorisent l'espionnage industriel au profit des
USA ?
Joker (devoir de réserve).
Surveillez-vous vos salariés
?
Non, absolument pas... En France, il faut comprendre
que le salarié a le droit à une vie privée et qu'elle
doit être extrêmement respectée par les patrons. D'un
autre côté, il faut dialoguer avec les utilisateurs
pour réellement leur faire comprendre que c'est surtout
grâce à eux que l'entreprise sera ou non vulnérable.
Quelle est votre maxime preferée
?
S'adapter ou disparaître.
N'y a-t-il pas une psychose
sur la sécurité sur le Net quand on compare à d'autres
moyens de communication ?
Si, tout à fait, il y a une vraie psychose, pas toujours
justifiée, alors que les cas de fraude (escroqueries
diverses) existent depuis extrêmement longtemps, quel
que soit le moyen de communication.
Quels sont les prochains soucis
majeurs en matière de sécurité sur Internet ?
Bonne question ... Attention à ne pas mélanger trop
souvent la téléphonie avec l'informatique. En effet,
le PABX avec la voie sur IP peut devenir une porte d'entrée
facile... si on ne la protège pas...
Les failles back orifice ne
sont-elles pas faites exprès pour nous espionner
?
Bien sûr que c'est fait pour.
Quand un patch existe, pourquoi
les admin ne l'appliquent que rarement ?
Premièrement : parce qu'ils n'ont pas toujours le temps
de faire de la veille technologique.
Deuxièmemement : parce que les patches, de temps à autres,
plantent les machines et, de ce fait, de nombreuses
applications ne fonctionnenent plus après l'application
d'un patch. (surtout les applications "maison")
Existe-t-il des solutions pour
les petites entreprises ?
Oui, nous avons développé une solution appelée Sérénis.
N'étant pas là pour parler Business, si vous êtes intéressé,
allez sur le site...
Et, dans tout cela, vous arrivez
à vous amuser de temps en temps ?
Tous les jours ! Notre travail n'est que du bonheur.
Nos ingénieurs sont vraiment passionnés par leur métier
et, surtout, tous les jours les cas concrets évoluent
et le travail n'est jamais répétitif.
Joël Rivière : Au revoir à tous et merci. Désolé
de ne pas avoir eu plus de temps pour répondre à vos
questions.
|