 |
|
| |
 |
Eric Filiol et Philippe Richard
Chercheur et journaliste
Cybercriminalité |
|
Eric Filiol et Philippe Richard
"Il y a un certain marketing de la peur"
Botnets, piratage,
espionnage d'état, vigie du Net ou encore marketing des
éditeurs de sécurité, les deux auteurs ont répondu aux
questions des lecteurs sur plusieurs thèmes de leur ouvrage
dédié à la cybercriminalité.
29/01/2007 |
| |
|
|
Qu'est-ce qui vous a donné envie ou motivé à écrire ce livre ? Est-ce le manque d'information sur le sujet ?
Eric Filiol et Philippe Richard. Le manque d'information est important et les utilisateurs (particuliers et entreprises) sont encore trop inconscients des risques REELS en matière de criminalité informatique. Le but est en quelque sorte d'aider à la sensibilisation et à la protection des utilisateurs.
Pourquoi la collaboration entre un militaire et un journaliste pour la rédaction ? Quelles sont les synergies ?
Je préfèrerais plutôt le fait d'être à la fois chercheur ET militaire. Le but était de faire quelque chose de vivant, vulgarisé, avec une vision pratique et globale, et sans esprit de polémique inutile. La double vision est de fait très enrichissante.
Qu'entendez-vous par cybercriminalité ? virus, pornographie, vol d'information, usurpation d'identité ?
En fait, la définition est simple : tout crime ou délit dans lequel l'informatique est soit l'outil (le medium) et/ou le but (la cible). Donc cela couvre essentiellement la captation illégitime des ressources d'autrui.
En cas de piratage ou de malveillance informatique dans mon entreprise, auprès de qui dois-je porter plainte ?
Les services compétents dans ce domaine : la BEFTI pour l'ile de France, l'OCLCTIC pour le reste [Ndlr : Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information et Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication]. Mais le moyen le plus simple est de contacter la gendarmerie ou le commissariat le plus proche qui ensuite aiguillera vers le service compétent. La question est importante car il est essentiel de porter plainte systématiquement.
Les services d'investigation français dispose-t-il réellement des compétences appropriées ?
Oui. Il y a un très grand savoir-faire. Il est malheureusement sous-dimensionné : ressources en nombre de personnels et/ou de moyens.
| |
|
 |
|
|
 La législation est adaptée, suffisante et de qualité. Son application est en revanche plus complexe" |
|
Est-ce que parce que les banques françaises parlent très peu du phishing on peut en déduire qu'elles ne sont que très rarement attaquées ? La sécurité de leurs services en ligne est-elle suffisante ?
La règle générale, hélas, est le manque de transparence. Les banques ne communiquent pratiquement pas. Cependant, en France, les banques ont mis en place peut être plus de garde-fous pour tenter de lutter contre certaines attaques. Il est difficile de dire si cela a eu une certaine efficacité.
Votre livre se limite t-il essentiellement aux problèmes en France ?
Pas uniquement. De nombreux cas concernent d'autres pays, et c'est d'ailleurs plus facile d'avoir des informations. Mais n'oublions pas que la cible est avant tout le lecteur français.
Comment sensibiliser le grand public ? Des campagnes ont déjà été menées mais ont-elles vraiment touchées la cible ?
Il est difficile de mener de telles campagnes même si elles sont vitales. La raison tient au fait que l'on est vite noyé dans le bruit marketing de l'industrie de la sécurité informatique, très souvent en décalage avec la réalité scientifique et technique. Une exception notable : la lutte contre la pédophilie. Une bonne nouvelle !
La loi n'arrive pas à s'adapter au monde du Web. Faut-il entièrement changer la législation ?
Vaste débat. La législation est adaptée, suffisante et de qualité. Son application est en revanche plus complexe, essentiellement parce que les victimes ne portent pas assez souvent plainte.
Le gouvernement français a réagi tardivement pour lutter contre cette nouvelle fraude. Sera-t il possible de rattraper le retard ?
Ce n'est pas tout à fait exact. La loi Godfrain (actuellement l'article 323 du Code Pénal) a été adoptée en 1988 et elle a servi de modèle pour d'autres pays de l'Union et les lois européennes. La loi Informatique et liberté date de 1978, quant à elle. Donc il est plus juste de dire que la France a été novatrice et en avance par rapport à la plupart des autres pays dans le monde.
Quels sont les risques pour lesquels nous sommes en général le moins bien préparés ?
Tous ! Dès lors que l'on est pas sensibilisé.
Existe-t-il une coopération internationale pour lutter contre la cybercriminalité ou est-ce vain comme pour le traité de Kyoto dans l'environnement ?
Il y a une certaine volonté. Cependant, les différences des droits nationaux, les particularités culturelles et des retards dans les chaines décisionnelles amoindrissent beaucoup cette volonté. Et certains pays ne collaborent pas du tout ou ne jouent pas le jeu.
La cybercriminalité est-elle une réelle menace pour les entreprises ou plutôt une incitation forte à accroitre les dépenses de sécurité ? Les éditeurs et vendeurs publient après tout beaucoup de rapport à ce sujet, et ils ne sont pas neutres.
| |
|
 |
|
|
Récemment un botnet de 400 000 machines a été découvert et son auteur condamné" |
|
Il y a effectivement un certain "marketing de la peur". Mais il est assez décalé par rapport à la nature réelle des risques. Et les solutions proposées ne sont absolument pas adaptées à ces risques. La sécurité est avant tout une démarche, un état d'esprit plutôt qu'une simple affaire de produits, de logiciels de sécurité.
Ne craignez-vous pas que les multiples parutions laissent croire qu'Internet n'est finalement qu'un refuge de criminels et encouragent les états à le censurer et le contrôler étroitement ?
Internet n'est qu'une partie du problème. Est-il possible de le contrôler ? Vaste débat là aussi. Mais le contrôle ou la censure dans d'autres domaines ont montré leurs limites et n'ont pas empêché la criminalité classique. La sécurité par l'obscurantisme est inefficace. Autre exemple : le pays dans lequel Internet est le plus contrôlé est la Chine. C'est aussi le pays où la criminalité informatique est l'une des plus importantes.
Le projet d'espionnage américain Carnivore ou DCS 1000 est-il toujours actif ? Quels risques fait-il courir ?
Il faudrait le demander à l'administration américaine. Il est très probable que ces projets soient actifs. D'où certains débats actuels aux USA mêmes.
Dans votre ouvrage, vous dites que le ver espion américain Magic Lantern n'est pas détecté par les antivirus et que McAfee aurait assuré le FBI que ce serait bien le cas. L'éditeur ne vous a pas appelé pour contester ?
Cette situation a été évoquée dans un article du journal MISC (n°5). Les éditeurs concernés n'ont jamais protesté. Et il existe des références permettant d'étayer certains propos de l'époque (voir le journal Washington Post, entre autres, du 22 novembre 2001).
Finalement, ne doit-on pas plutôt parler de piratage étatique et non de cybercriminalité ?
Il est très difficile de savoir qui est derrière un groupe mafieux ou un groupe de pirates.
Les attaques contre les mobiles vous y croyez, ou est ce juste un marché que les éditeurs souhaitent faire fructifier ?
C'est une réalité technique, reconnue par les opérateurs français. Les attaques par le virus COMWarrior ne sont pas une vue de l'esprit. Maintenant, dans quelle mesure le marketing de la peur a fonctionné ou fonctionne ? Difficile de le dire. Mais les attaques évoluent avec la technologie. Donc pas de surprise. Il faut savoir que les opérateurs ne communiquent pas. Les parts de marché concernant les téléphones vulnérables par ces attaques sont encore réduites.
Avez-vous une estimation du nombre de PC Zombies dans le monde ? Représentent-ils un risque pour les entreprises ?
On peut parler des cas identifiés et jugés, notamment par la justice américaine. Récemment un botnet de 400 000 machines a été découvert et son auteur condamné. Le record probable est de 4 millions de machines dans un botnet.
Avec le web 2.0, une nouvelle forme de criminalité électronique peut-elle arriver ?
| |
|
 |
|
|
Le problème n'est pas de savoir si l'on est parano, mais de savoir si on l'est assez" |
|
Techniquement oui. Il n'y a aucune différence conceptuelle avec la version précédente. Peut être plus d'angles d'approche.
Terrorisme et piratage informatique, un mélange détonnant ? Y a-t-il des cas en la matière ?
Par exemple, le webtifada de l'été dernier lors du conflit libanais. Le Hezbollah était largement impliqué. Des sites israéliens ont été attaqués et d'autres actions contre les réseaux de communication ont été menées.
Les terroristes utilisent de plus en plus le Web. N'est-il pas plus facile de les tracer de cette façon ?
Le problème ne concerne pas spécifiquement les terroristes, mais les criminels informatiques en général. Contre une utilisation optimale de la cryptographie ou de la stéganographie, il est pratiquement impossible de lutter, du moins dans des délais compatibles avec le besoin de protection et de lutte.
Quelles premières démarches, simples, pourraient entreprendre les sociétés pour accroitre leur niveau de sécurité ?
Penser sécurité dés le début, construire autour de la sécurité. Sensibiliser et former les personnels. Définir une politique de sécurité intégrant la logique métier, la faire appliquer et la contrôler.
Pourquoi les criminels sont-ils toujours en avance sur la technologie de la défense? Peut-on espérer des initiatives préventives de cette dernière ?
Problème d'innovation des pirates. Comment envisager par avance ce que l'esprit humain peut imaginer ? C'est l'éternel duel épée contre bouclier.
J'ai un fort penchant pour la paranoïa, me recommandez-vous malgré tout de lire votre livre, ou dois-je craindre que mon traumatisme ne s'aggrave ?
Le problème n'est pas de savoir si l'on est parano, mais de savoir si on l'est assez. La peur n'évite pas le danger et la politique de l'autruche est le pire des cadeaux à faire aux attaquants.
Merci à vous tous pour ces questions intéressantes. Lisez le livre. Le service après vente est assuré si vous le souhaitez.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
|
Lire la fiche d'Eric Filiol et la fiche de Philippe Richard.
|
|
|
|
|
|
|
Dossier