Soyez prévenu 30 min. avant le chat

Après l'attaque de samedi dernier, le chat avec Joël Rivière, spécialiste de cybersécurité, est tombé à pic: évidemment le virus Sapphire a monopolisé l'attention. Mais l'ancien commandant de gendarmerie a commenté bien d'autres sujets : cyberterrorisme, personnalité des hackers, protection des entreprises. S'il ne fallait retenir qu'un conseil : employez des produits simples et soyez à jour dans vos antivirus. Il ne restera plus ensuite qu'à persuader les internautes que faire ses emplettes sur Internet est sans danger. Une autre paire de manches...

Invité : Joël Rivière, PDG de Lexsi (voir sa fiche Carnet) Date : Mercredi 29 janvier, 18h-19h10 Nombre de questions posées : 232 Nombre de questions retenues : 84

Joël Rivière : Bonsoir à tous.

Qui sont les hackers aujourd'hui : des geeks isolés ou des organisations ?
Joël Rivière Il y a vraiment de tout, mais, encore en France, beaucoup de gens isolés.

Faire tomber le réseau Internet entier est-il techniquement possible (en attaquant les serveurs DNS racines par exemple) ?
C'est toujours techinquement possible, mais c'est fort improbable. Grâce à une architecture technique bien pensée c'est possible quand même.

Quelles étaient vos fonctions avant de fonder Lexsi ?
De 1994 à 99, j'ai été lé chef du département informatique électronique à l'institut de recherche criminelle de la gendarmerie.

A force de traquer le cybercrime, vous ne devenez pas un peu parano parfois ?
Absolument pas. Nous avons la chance de ne faire que des études de cas concrets. Il ne faut surtout pas être parano.

Comment est traitée la question du cyberterrorisme par les autorités françaises ? Vous avez une idée ?
Le cyberterrorisme est pris en compte en France ... Mais il manque cruellement de moyens.

Vous êtes proche du pouvoir ?
Absolument pas.

Le problème des attaques n'est-il pas lié, non à la qualité de la protection, mais surtout à la faible qualité de conception des applications Internet & informatiques en général ?
Effectivement, à l'heure actuelle, le plus gros des problèmes pour moi est un problème de sécurité au niveau applicatif.

Quels sont les systèmes de "cyberdéfense" les plus efficaces ?
L'être humain.

Comment se fait-il que de grandes entreprises se fassent pirater (hacker) par de simple hacker ?
Parce que la sécurité est, une fois de plus, un problème humain et que la prise de conscience n'est toujours pas effective dans les grandes entreprises. De plus, elles ne sont pas à jour en matière de failles de sécurité.

Avez-vous déjà pu photographier des virus ?
Bien sûr !

Le cybercrime rejoint-il des revendications politiques qui s'expriment actuellement dans le monde ?
Pas à mon avis. Il y a quelques cas de déni de service pour éviter de diffuser certaines informations, mais la politique n'est pas très touchée dans ce domaine.

Bonjour. Serait-il possible que cette attaque virale vienne d'entreprises vendant de la sécurité (IBM, Microsoft...) ?
Non, je ne pense pas du tout.

Que pensez-vous de l'attaque de samedi dernier ?
Très bon cas concret. Une fois de plus, on a exploité une faille non mise à jour. Et, notez-le, à 99 %, les problèmes de sécurité viennent d'une faille non patchée.

Monsieur Rivière, pensez-vous, suite au piratage de ce week-end, que les internautes vont avoir peur de payer par carte bancaire ?
Non, cela n'a rien à voir. Et, pour moi régler avec une CB sur Internet est beaucoup moins dangereux que de donner son numéro de CB au téléphone pour réserver une chambre...

Existe-t-il des solutions simples pour éviter le piratage ?
Oui : ne pas avoir d'informatique ...
Mais, plus sérieusement, avoir des produits simples et être à jour est déjà un grand pas en avant en matière de sécurité.

Des attaques vers les systèmes informatiques de contrôle des aéroports, des centrales électriques, etc. vous paraissent-elles 1) probables 2) possibles avec les moyens utilisés samedi par le fameux ver SQL Sapphire ?
Pour moi, c'est du domaine du fantasme et, à mon avis, restera au stade du fantasme, sauf à avoir une énorme complicité en interne.

Les hackers sont-ils vraiment dangereux ou s'amusent-ils seulement avec le réseau ?
Non, il y a vraiment de tout dans la population hacker ... des gens extrêmement bons techniquement et qui pourraient être dangereux, et des gens extremement mauvais techniquement qui peuvent être encore plus dangreux.

Vous avez déjà pu discuter avec un hacker ? Si oui, dans quelles conditions ?
Oui, bien sûr, j'ai déjà pu discuter avec eux... Surtout en garde à vue.

Pourquoi traquer les cyberhackers alors que tout ce système est virtuel finalement ?
Parce que les dégâts, eux, sont réels et les pertes financières bien présentes.

Quelle est votre dernière grande frayeur ?
Découvrir, lors d'un audit, qu'il nous a fallu un quart d'heure pour arriver au coeur d'un système dit "très sécurisé".

Quel est le mobile des hackers qui revient le plus fréquemment ?
Le jeu et la découverte des entrailles de l'IP.

Qui est derrière Sapphire ?
Comme d'habitude, quelques jeunes (à mon avis) en mal de connaissances et de reconnaissance.

Quand avez-vous entendu parler de Sapphire (jour, heure...) et comment avez-vous réagi ?
Pour nous, samedi matin. Et dans le cadre de notre veille technologique, nous avons envoyé à tous nos abonnés un point complet sur le virus (mode de fonctionnement et comment l'éradiquer).

Avez-vous parfois peur pour votre propre sécurité personnelle, vu votre exposition publique ?
Non, parce que je n'ai pas de pouvoir particulier, je ne suis qu'un chef d'entreprise essayant de faire avancer la sécurité. Je ne me sens nullement quelqu'un avec une exposition particulière.

Participez-vous (votre entreprise) à la recherche de failles, notamment sur bugtraq ou utilisez-vous tout simplement les outils disponibles sur Internet durant vos tests de sécurité ?
Nous allons devenir CERT très prochainement et nous découvrons personnellement des failles. Et nous développons énormément d'outils pour nos tests.

C'est quoi CERT ?
Computer Emergency Response Team. Ce sont, dans le monde, des équipes techniques capables d'intervenir rapidement sur des problèmes de sécurité.

Le danger vient-il le plus souvent de l'intérieur des entreprises ?
Oui, à l'heure actuelle l'intérieur est toujours plus dangereux que l'extérieur. Mais cela a tendance à évoluer.

A titre personnel, vous êtes plutôt du genre à vous protéger au maximum ?
On se protège ... en fonction de son travail et, bien évidemment, nous essayons d'être le plus à jour possible et de se protéger "comme il se doit".

Allez, un peu de franchise : votre "dernière grande frayeur", c'était dans quelle boite ?
Hélas, je commence à avoir des trous de mémoire (pensez à mes clients !)

Crypter est-il plus important que décrypter ? That is the question !
La crytpologie doit toujours être utilisée à bon escient et il faut toujours prendre en compte que c'est une technologie lourde lorsqu'on l'utilise massivement ou à grande échelle.

Le Peer to Peer : structure intéressante ou nid à problèmes ?
Cela a toujours été un nid à problèmes.

La vie serait triste sans les attaques informatiques, non ?
Eh oui ! Mais, hélas, il y en aura toujours, et à mon avis de plus en plus.

Que pensez-vous des réseaux Wi-Fi et de leurs vulnérabilités latentes ?
Ce réseau est, bien évidemment, par défaut, très mal sécurisé. Par contre, à l'heure actuelle, il est tout à fait possible de sécuriser profesionnellement un réseau sans fil.

Pensez-vous que le e-Commerce est en danger ? Quelles précautions une boutique en ligne doit prendre ? Ou bien, à votre avis, on ne peut rien faire ?
Non, je ne le pense pas du tout, au contraire. Il existe des précautions simples à prendre quand on a une boutique en ligne et on peut tout à fait se sécuriser ... à moindre coût. Par contre, il faut réellement gagner la confiance des internautes.

Travaillez-vous encore avec le gouvernement ?
Oui, je fais partie de plusieurs études sur la sécurité informatique. Mais je n'ai plus aucun pouvoir, comme avant. Ce ne sont que des avis ou des conseils.

Quel est le niveau technique des services de renseignements français (DGSE, DST) ? Sont-ils à la pointe pour lutter contre les problèmes informatiques liés au terrorisme ?
Ils sont, à mon avis, extrêmement pointus techniquement.

Y a-t-il un véritable crime organisé qui utilise l'informatique comme moyen de gagner sa vie ? Bref, un vraie Mafia "informatique" ?
Pas pour moi. Le rapport qualité-prix est encore inintéressant.

Vous n'avez pas l'air de craindre beaucoup les hackers... alors le cybercrime, c'est pas grand chose finalement ?
Eh si, nous craignons beaucoup les hackers ; surtout ceux qui ne sont pas très bons techniquement.

Avec le 11 septembre 2001, l'Irak (etc.), la menace d'attaque massive est-elle une réalité ?
Il est toujours possible d'imaginer ce genre d'attaque. Mais, pour moi, c'est très improbable que cela arrive un jour.

Pensez-vous vraiment que le jeu soit la motivation des hackers ? N'est-ce pas plus philosophique, voire politique ?
Non, non. Dans le temps, il prônaient la liberté totale de l'information. Mais, maintenant - pour beaucoup -, c'est plus ludique et pour montrer les failles de sécurité que ceux-ci piratent.

Ah, si on pouvait renverser Saddam avec un simple ver comme Sapphire... Ça arrivera un jour ?
Ca serait bien et ça ferait peut-être remonter la bourse.

Question élémentaire, mais c'est quoi au juste un ver ?
C'est un morceau de code qui a un "effet de bord" et qui se propage le plus souvent via la messagerie. Dans l'effet de bord, il peut y avoir, par exemple, le changement de quelques paramètres dans la base de registre de Windows.

Quel est le profil du client Lexsi ?
Nous avons, à l'heure actuelle, à peu près 350 clients que nous suivons en matière de sécurité à l'année. Et, au départ, nous étions très orientés grands comptes. Et, depuis quelques mois, nous essayons d'intéresser les PME à la sécurité (avec des coûts moindres).

Il faut toujours essayer... Embauchez-vous des techniciens réseaux ?
Oui ,tout à fait. Mais ayant déjà des connaissances dans la sécurité.

Rendez-vous public vos recherches sur les failles de sécurité et/ou vos outils comme beaucoup d'autres entreprises de sécurite ou vous ne dévoilez rien ? (je n'ai pas trouvé d'éléments à ce sujet sur votre site Internet) ?
Oui, bien sûr, par exemple : tous les mois nous éditons, dans "réseaux et telecom", le baromètre des failles de sécurité du mois.

Faîtes-vous recettes dans le vieux pot Lexsi ?
Lexsi va très bien, merci !

Vous avez parlez d'un système très sécurisé : à quel niveau ? IP ou système ?
Ils avaient mis une énorme porte blindée... et juste à côté des accès modem, en mode anonyme, sans aucun mot de passe.

On dit souvent que les fabricants d'antivirus suscitent parfois les virus pour vendre leurs programmes. Cette idée a-t-elle une once de crédibilité ?
Pas pour moi. C'est beaucoup trop dangereux pour eux, alors qu'ils ont déjà un business en or.

Quel est, selon vous, le meilleur anti-virus du marché ?
Pour moi, il n'y a pas de meilleur antivirus. Il n'y a que des antivirus non administrés ou non mis à jour. Mais, par contre, personnellement, Kapersky est la meilleure solution technique pour moi.

Le logiciel libre c'est mieux protégé que le logiciel propriétaire ?
Pour moi, le libre est mieux protégé car on accède plus facilement aux sources.

Est-il vrai que le Minitel est encore moins bien sécurisé qu'Internet ?
Bien sûr ... Il n'y a aucune difficulté à pirater du Minitel.
Mais ne comptez pas sur moi pour vous donner la recette !

Je pense que la plus part des réseaux dit "sécurisés" à l'heure actuelle ne le seront plus dans quelques temps : vrai au faux ?
La sécurité est un problème de vigilence et si la vigilence retombe, alors le niveau de sécurité décroit très rapidement.

En France, qui est généralement à l'origine des actions de cyberespionage industriel que vous pouvez observer ?
Les pays étrangers ... qui savent très bien que les entreprises françaises ont des problèmes de sécurité. Et, surtout, il faut que vous soyiez une cible. Posez-vous la question : suis-je une cible pour l'étranger, oui ou non ?

Hacker ne veut pas dire pirate : il faudrait le dire !
Tout cela n'est qu'un problème de vocabulaire. Et chacun met derrière le mot pirate ou hacker un petit peu ce qu'il veut. C'est comme Firewall...

C'est très tendance : peut-on parler "d'insécurité informatique" ?
Non ... on avance peut-être lentement, mais on avance.

Un hiver nucléaire de l'Internet mondial est-il envisageable, paralysant toute l'économie ?
On peut tout imaginer. Mais, pour moi, c'est complètement improbable.

Ouvrez-vous les pièces jointes ?
Oui... Après avoir fait quelques contrôles sur la source.

Vous télécharchez des MP3 ou du DivX ?
Pas vraiment. J'ai beaucoup beaucoup de travail.

Je pense qu'avec l'évolution des systèmes, il n'y a pas vraiment de sécurité ?
Bien sûr ... Les systèmes évolueront en permanence et les failles seront toujours aussi présentes.

Quelle est la part d'attaques informatiques venant de l'étranger dans les sociétés françaises auditées ?
Cette part est relativement importante. Par contre, elle n'est pas toujours d'origine "espionnage industriel".

Quelles ont été les plus grosses sanctions ou peines que vous ayez vues lorsque vous étiez dans la cyberpolice ?
Pas grand chose.

Quel est le virus (ou le ver) qui vous a le plus impressionné ?
I love you.

Quand vous dites qu'il n'y a que des antivirus non mis à jour, sous-entendez-vous l'inefficacité des antivirus traditionnellement trouvés dans le commerce ?
Mais non ! Pas du tout ! C'est la personne qui a acheté l'antivirus qui ne le met pas à jour ! Et non pas l'éditeur...

Vous avez des caméras de surveillance chez vous ?
Joker.

Combien êtes-vous dans votre société ?
73.

Existe-t- il, selon vous, des "nations" de pirates (Coréens ? Russes ? ) ? Lesquels sont les meilleurs ?
Oui : les pays de l'Est, les Israëliens. Par contre, eux, sont très bons en sécurité.

Selon vous, quelle part joue l'informatique (message cryptés, ...) dans l'organisation de réseaux terroristes ?
Elle va prendre de plus en plus de place.

A votre avis, il y a plus d'hommes qui piratent ou c'est 50% d'hommes / 50% de femmes ?
Beaucoup plus d'hommes.

La signature électronique est-elle un outil réellement efficace pour assurer la confidentialité des échanges ?
C'est extrêmement efficace, mais ça n'assure pas la confidentialité des échanges. On parle plutôt d'intégrité et de non répudiation.

Que peut-on faire pour protéger nos données efficacement ?
Ne pas les mettre en ligne.

Quel est votre ouvrage de référence ?
Sport auto.

Les FAI ont-ils un rôle à jouer pour endiguer les virus ?
Je pense que oui. Et même plus, en matière de sécurité, particulièrement sur les problèmes de Spam, par exemple, ou d'attaques massives par déni de service.

Les services de paiement sécurisé le sont-ils suffisamment (sécurisés) à votre goût ? Sinon, quels risques ?
Oui. Les paiements deviennent de plus en plus sécurisés. Le plus gros risque est la fraude au numéro de carte bancaire, ce qui n'a rien à voir avec la fraude à la carte bancaire. En effet, ce type de fraude, vous l'aurez partout, même dans un magasin traditionnel.

Je repose ma question : "un mouton du Net peut-il se faire tondre ?" : peut-on prendre le contrôle de l'ordinateur d'un particulier facilement ?
Oui, très facilement.

Est-ce facile de devenir hacker ?
Oui, bien évidemment. Tout est en libre service sur Internet.

Pensez-vous que les solutions de sécurité américaines sont liées à échelon et favorisent l'espionnage industriel au profit des USA ?
Joker (devoir de réserve).

Surveillez-vous vos salariés ?
Non, absolument pas... En France, il faut comprendre que le salarié a le droit à une vie privée et qu'elle doit être extrêmement respectée par les patrons. D'un autre côté, il faut dialoguer avec les utilisateurs pour réellement leur faire comprendre que c'est surtout grâce à eux que l'entreprise sera ou non vulnérable.

Quelle est votre maxime preferée ?
S'adapter ou disparaître.

N'y a-t-il pas une psychose sur la sécurité sur le Net quand on compare à d'autres moyens de communication ?
Si, tout à fait, il y a une vraie psychose, pas toujours justifiée, alors que les cas de fraude (escroqueries diverses) existent depuis extrêmement longtemps, quel que soit le moyen de communication.

Quels sont les prochains soucis majeurs en matière de sécurité sur Internet ?
Bonne question ... Attention à ne pas mélanger trop souvent la téléphonie avec l'informatique. En effet, le PABX avec la voie sur IP peut devenir une porte d'entrée facile... si on ne la protège pas...

Les failles back orifice ne sont-elles pas faites exprès pour nous espionner ?
Bien sûr que c'est fait pour.

Quand un patch existe, pourquoi les admin ne l'appliquent que rarement ?
Premièrement : parce qu'ils n'ont pas toujours le temps de faire de la veille technologique.
Deuxièmemement : parce que les patches, de temps à autres, plantent les machines et, de ce fait, de nombreuses applications ne fonctionnenent plus après l'application d'un patch. (surtout les applications "maison")

Existe-t-il des solutions pour les petites entreprises ?
Oui, nous avons développé une solution appelée Sérénis. N'étant pas là pour parler Business, si vous êtes intéressé, allez sur le site...

Et, dans tout cela, vous arrivez à vous amuser de temps en temps ?
Tous les jours ! Notre travail n'est que du bonheur. Nos ingénieurs sont vraiment passionnés par leur métier et, surtout, tous les jours les cas concrets évoluent et le travail n'est jamais répétitif.