|
La sécurité des systèmes
d'information est plus que jamais remise en question : le CERT, le groupe dédié
à la sécurité de l'université Carnegie Mellon, a évalué à plus de 76 000 le nombre
d'incidents de sécurité informatique rencontrés au cours des six premiers mois
de 2003.
L'augmentation est extrêmement nette par rapport aux 82 000 incidents relevés
au cours de l'année 2002 toute entière. De plus, les attaques sont devenues
plus sophistiquées. On a par exemple dénombré plus de virus et de vers destinés
à voler des informations. L'affaire est sérieuse : on estime les dommages subis
par les entreprises à plusieurs milliards de dollars chaque année.
Et la confiance dans les systèmes d'information s'effrite. A tel point que Microsoft
a créé le mois dernier un fonds de 5 millions de dollars destiné à récompenser
toute personne procurant des informations menant à l'arrestation des responsables
de ces attaques.
Ces
responsables on les désigne sous l'étiquette générique de hackers. Le terme trouve
son origine au début des années 1980 dans un club de passionnés de technologie
du Massachusetts Institute of Technology, réunis autour d'un intérêt commun :
les modèles réduits de chemins de fer. Mais, pour mettre au point des circuits
de plus en plus complexes, et surtout les automatiser, les membres du club ont
montré également une grande habilité et une nette propension à imiter le fonctionnement
de systèmes complexes, comme le standard téléphonique du MIT. Du standard téléphonique
aux ordinateurs de l'époque, les PDP 11 de Digital Equipment en particulier, il
n'y avait qu'un pas que les membres du club ont franchi. Ils se sont spécialisés
dans l'incursion dans des systèmes dont ils désiraient maîtriser
le fonctionnement. Ils ont même publié un livre sur les personnalités les plus
marquantes de leur assemblée.
Ce livre s'intitulait : Hackers, les héros de la révolution informatique. Il n'y
avait donc à l'origine aucune connotation négative dans ce terme. Il désignait
plutôt des individus plus ingénieux que la moyenne, capables de comprendre des
machines très hermétiques pour le commun des mortels. Leur ouvrage Hackers publié
en 1984 évoquait d'ailleurs les personnalités brillantes de la côte ouest américaine
qu'étaient Steve Jobs et Stephen Wosniak (les fondateurs d'Apple) ainsi qu'un
certain... Bill Gates.
Ce désir de connaître
figure toujours dans la personnalité du hacker. Mais il n'est plus seul hélas
: il est souvent eclipsé par des motifs moins avouables. Aujourd'hui, le
journaliste spécialisé dans la sécurité informatique, Damien Bancal, responsable
du site Zataz, identifie trois types d'acteurs possibles :
Le codeur, l'étudiant, l'ingénieur qui cherche à comprendre tel ou tel bug. Apres
tout, un virus n'est rien d'autre que l'utilisation d'un problème informatique.
Il va rarement diffuser son code.
Le trasher, crasher, celui qui a pour mission de détruire. Soit on a affaire à
l'idiot du village dans toute sa splendeur, soit à une attaque plus "économique".
L'aspect politique.
De plus en plus de virus sont là aussi pour informer sur telle ou telle cause
comme ce virus Sri Lankais ou dernièrement avec le ver Yaha qui participe à la
guerre entre le Pakistan et l'Inde.
Une enquête, publiée par
Information Week le mois dernier, précise ce portrait. Lorsque l'on les interroge
sur leurs motivations, près de 100% des hackers affirment qu'ils pénètrent les
systèmes par défi intellectuel, pour accroître leurs connaissances, pour mieux
connaître les ordinateurs et l'informatique, pour comprendre comment tout cela
fonctionne. Mais 14% déclarent se rebeller ainsi contre l'autorité ou le gouvernement.
Et 7% veulent combattre le capitalisme, l'ordre établi ou devenir célèbres.
Cette quête de reconnaissance
politique ou sociale laisse place désormais à une autre motivation : l'argent.
Les compétences des hackers attirent des firmes spécialisées dans la sécurité,
mais aussi des hommes d'affaires peu scrupuleux. Ainsi, les hackers sont approchés
pour dénicher des listes de cartes de crédit, réaliser des opérations sous de
fausses identités, voire programmer des jeux factices, des attrape-nigauds, où
obtenir des listes d'adresses électronique que des spammers professionnels
exploiteront.
Enfin, les hackers sont à l'affût de tous les défauts des
logiciels qui sont mis sur le marché. L'exploitation rapide d'une faille
de sécurité - surnommée zero-day exploit car il n'y a quasiment aucun délai entre
la découverte de la vulnérabilité et son exploitation - peut se monnayer jusqu'à
5000 dollars. Animé par ces multiples tentations, l'activité des hackers risque
de se développer. Elle se réduira sans doute le jour où l'on pourra répondre à
sa motivation première : le désir de comprendre comment tout cela fonctionne.
|