10 octobre 2016 -IAM
Valentin Clerbout, Senior Developer
En septembre, à quelques jours d’intervalles, Krebs on Security et OVH ont été touché par les plus grosses attaques DDos jamais enregistrées (Distributed Denial of service attack – surcharge des serveurs par une quantité élevée de requêtes provoquant leur indisponibilité). Si les motifs restent obscurs, la mise en œuvre de ces opérations doit nous alerter sur les risques du «tout connecté».
En effet à l’ère du Web 3.0 et des objets connectés, les fabricants rivalisent d’inventivité pour faire en sorte que nos appareils (WebCam, réfrigérateur, thermostats, enceintes…) soient toujours plus faciles à mettre en ligne, et contrôlables depuis nos SmartPhones ou tout autre périphérique ayant accès à internet. Il en résulte, pour les pirates, une source quasi-illimitée (on évalue à plusieurs milliards le nombre d’objets connectés en 2016) d’appareils pouvant servir de point d’entrée vers un réseau, de relais pour orchestrer une attaque DDos, ou tout autre acte malveillant.
Ces cybers-actualités alimentant notre quotidien ne représentent qu’une menace toute relative pour tout un chacun. En effet, qui, hormis les personnes sensibilisées, accordent une importance au fait que krebsonsecurity.com, ou les serveurs d’OVH aient été interrompus par des attaques DDos? Pas grand monde… mais cela pourrait changer.
Sur internet, tout s’échange, se partage, se vend. En surface, ce qui est légal, mais si on creuse, on peut trouver toute une panoplie de programmes, véritable boîtes à outils, permettant de scanner, forcer, contaminer ou exploiter les failles de sécurité. Et ceci, sans nécessairement être un petit génie de l’informatique…
Qu’en résulte-t-il ?
Du Ransomware (virus qui permet de crypter l’intégralité de votre disque dur et vos données, rendues indéchiffrable si vous ne payez pas la clef de chiffrage) au phishing (par le biais de faux emails ou faux site web, on vous incite à entrer vos informations personnelles, mot de passe, numéro de carte de crédit…), les moyens pour tenter de pénétrer votre vie privée ne manquent pas. A l’heure du «tout connecté» ou mails personnels et privés, cloud, agenda, e-banking, réseaux sociaux, domotique sont accessibles par internet. Le respect de certaines règles de bonne conduite est primordial, car les degrés d’interconnexions sont tels que les services informatiques des entreprises ne peuvent plus ignorer ces formes de social engineering.
Chez IAM, notre politique de sécurité est très stricte, nous auditons nos processus annuellement, et nous recherchons toujours les meilleures solutions pour garantir une sécurité maximum aux données de nos clients. Mais nous mettons surtout l’accent sur la responsabilité de chacun de nos collaborateurs. C’est par exemple la sensibilisation à l’utilisation de mots de passe « fort », ou encore l’importance d’avoir un comportement «responsable» lors de la lecture des e-mails.
Et demain ?
Alors que des opérations chirurgicales se font déjà à distance, que les premières voitures autonomes voient le jour, et que certain pacemakers sont connectés, devons-nous vivre dans des cages de Faraday ? Certes non, mais l’émergence de toutes ces menaces, de plus en plus virulentes, font que le domaine de la cybersécurité n’a jamais été autant sur le devant de la scène et fera résolument partie de toutes les stratégies durant les années à venir.