Philippe Humeau , directeur général de NBS System: «Le seul véritable danger est le trafic d’identité»

SECURITE INFORMATIQUE Alors que les attaques de hackers sont de plus en plus nombreuses, 20Minutes fait le point avec un expert du secteur...

L.A. Van Hullebusch

— 

Un tract de l'opération #AntiSec, menée par les hackers de LulzSec et Anonymous.
Un tract de l'opération #AntiSec, menée par les hackers de LulzSec et Anonymous. — DR

 

Il y a une médiatisation importante des actions relatives aux intrusions et piratages. Les médias en font-ils trop?

L’augmentation de ces actes est indéniable. La nouvelle génération (Individus entre 15 et 25 ans aujourd’hui) a été baignée dans l’informatique depuis l’enfance, contrairement aux générations précédentes qui l’ont à peine vu naitre. Cette culture informatique acquise au cours de leur vie est presque naturelle. N’importe qui avec un minimum de culture informatique générale peut réussir à comprendre le principe d’attaques DDoS ou SQL. Il s’agit là de la première page du manuel du petit hacker, rien de très complexe. Par ailleurs, certains désirent aujourd’hui se médiatiser. Le groupe Anonymous en est un exemple.

Ces attaques se multiplient.  La situation est-elle inquiétante pour un internaute lambda ?

Si on parle d’attaques directes, non. Si on parle de répercussions, là il existe quelques risques. La divulgation d’informations obtenues par les hackers dans les bases de données, peuvent compromettre la sécurité d’utilisateurs du web. Au point de vue financier rien n’est à craindre. Les assurances ont pris position sur le sujet et couvrent ce risque. Le seul véritable danger est le trafic d’identité. Il suffit parfois d’une intrusion dans un secteur précis de la vie online d’un citoyen (compte mail, compte ebay…) pour recouper ses informations et obtenir un accès total sur son profil d’internaute. La frontière entre profil réel et profil online tendant à disparaître, il est d’une importance capitale de sécuriser ses données.

Peut-on encore faire la différence entre «white hat» et «black hat» ?

Contrairement aux apparences, le réseau « underground » du net est extrêmement bien organisé. Il est structuré, segmenté, chacun y trouve sa place et ne déborde pas sur les activités du voisin. Le gris, je n’y crois pas. Eventuellement à propos de hackers comme GeoHot, mais sans plus. Si un hacker franchit la ligne qui sépare le  «white» du «black», il ne la refranchira plus à l’inverse. Et même s’il le fait, il sera considéré  «black» malgré tout. Si un hacker pratique à but lucratif illégalement, il est définitivement dans la communauté «black hat».

AntiSec, Anonymous, Lulzsec, trois noms qui font couler de l’encre ces temps-ci. Que pensez-vous de ces groupes et actions?

Quand on connait les agissements de Lulzsec d’une part, et Anonymous de l’autre, l’alliance sous la bannière du plan AntiSec peut paraître logique, mais elle est totalement contre nature. Anonymous revendique des opinions politiques, se bat pour des libertés et n’agit pas dans un but lucratif. Il s’agit plus d’une conscience collective. Lulzsec est nettement moins engagé. Ils agissent selon eux pour le «Lulz » (le fun NDLR) mais ne se cachent pas de parfois tirer profit de leurs actions. Quand il s’agit d’attaquer certaines institutions, leurs buts peuvent converger, mais leurs méthodes divergent. Là ou Anonymous préfère le DDoS, Lulzsec n’hésite pas à piller les informations. D’ailleurs la dernière divulgation d’informations par Anonymous est une entorse à leur «déontologie». Clairement, Lulzsec reste pour moi une communauté «black hat». Et Anonymous risque de perdre sa crédibilité en s’associant à eux et en soutenant la diffusion de données sensibles.

Le combat d’Anonymous contre toutes sortes d’entités liberticides est-il vraiment susceptible d’amener des résultats?

Anonymous est le premier mouvement à s’afficher de la sorte, un groupe qui se mobilise par le biais du hack sur le plan politique, cela ne s’était jamais vu. Cette communauté tire sa force de son hétérogénéité. Il s’agit vraiment de monsieur et madame tout-le-monde. Je pense que ce mouvement sera durable, car il s’implique, s’engage, et n’a pas de but lucratif. Comment faire pression ou tenter de dissoudre un groupe qui n’a aucune motivation financière à l’heure où tout est régi par la finance mondiale? On observe certainement la naissance de la première cyberconscience. Cependant, leur combat contre toute forme d’entités liberticides est à clarifier. Où poser les limites de ce qui est liberticide ou de ce qui ne l’est pas? La liberté est aussi parfois de jouir d’une certaine sécurité. Si cette cyberconscience arrive ne serait-ce qu’à faire évoluer les mentalités, ouvrir la conscience générale sur le caractère intimement lié de la vie offline et online, ce sera une avancée dans leur combat.

Pour certains, les attaques de ce type sur des institutions gouvernementales relèvent du terrorisme, qu’en pensez-vous?

Le terme de terrorisme est en vogue de nos jours. Il choque et amène la peur. La peur permet de camoufler certains évènements, d’en médiatiser d’autres, et d’orienter les regards. Le terme de terrorisme ici est un peu exagéré. Parler d’atteinte à la personne serait plus approprié.

Actuellement la sécurité n’est pas une priorité,  comment pensez-vous que la mentalité puisse changer?

On se dirige de plus en plus vers une cybercitoyenneté. Dissocier la vie offline et la vie online devient de plus en plus difficile. Maintenant il est possible d’usurper l’identité de quelqu’un uniquement en ayant accès à certaines de ses informations confidentielles sur Internet. Et je n’entends pas par là seulement prendre la place d’un internaute sur le web, mais bien usurper son identité : obtenir une copie de sa carte d’identité totalement officielle, un permis de conduire, une plaque d’immatriculation, un certificat de naissance. Un clone aux yeux de la société. Avec ces éléments sous la main, il est difficile de continuer à ignorer l’importance capitale de sécuriser ce système. Il en va de la protection des citoyens, et cette sécurité est la responsabilité de chacun. Malheureusement pour l’instant, la sécurité est la troisième roue du carrosse.

Existe-t-il un moyen de sécuriser à 100%?

La sécurité infaillible n’existe pas, mais on peut s’en rapprocher. Le meilleur des moyens est de fermer la porte au plus grand nombre. La sécurité ressemble à une courbe logarithmique: évoluer vers les sommets est rapide, mais atteindre la perfection demande un temps et un budget presque infini.