29.10.2020
Quelles sont les conséquences de mon comportement en matière de cybersécurité sur les autres? Quel est le rapport entre la protection de mon ordinateur privé et la disponibilité de la boutique en ligne d’un détaillant? Adrian Wiesmann, responsable IT Security à PostFinance, répond à ces questions dans le billet de son blog en marge de «Connecta».
«Je suis bien trop insignifiant pour intéresser qui que ce soit». C’est le genre d’affirmation que j’ai souvent entendue dans le passé. En particulier de la part de personnes qui ont renoncé à un mot de passe fort ou à l’installation des patchs dans leurs systèmes. Mais cette réflexion est trop réductrice. On sous-entend par là qu’il n’y a aucune dépendance avec les tiers et que nos propres actions n’ont pas d’influence sur les autres. Or c’est faux.
Internet recèle d’innombrables scanners. Ce sont des ordinateurs qui fouillent inlassablement l’ensemble de la Toile à la recherche de serveurs vulnérables. Dès qu’une faille est identifiée, on cherche à l’exploiter automatiquement et sans délai. Ces scanners sont également exploités par des individus douteux. Pour cela, ils utilisent parfois les ordinateurs privés des «petits poissons». Les propriétaires de ces ordinateurs ne savent probablement pas qu’un criminel téléguide leur système et l’exploite à des fins criminelles.
Le propriétaire de l’ordinateur ne doit pas s’apercevoir de cet abus. Mais si un grand nombre d’ordinateurs téléguidés sont orchestrés au sein d’un même botnet, ils deviennent définitivement dangereux et nuisibles. Ces botnets sont volontiers utilisés dans le cadre d’attaques DDoS. C’est-à-dire pour surcharger des serveurs (p. ex. d’une banque en ligne ou d’une boutique en ligne) pour empêcher leurs clients d’y accéder. Les motifs de ces attaques sont très variables (atteinte à la réputation, chantage, etc.). La victime subit toujours un dommage financier dans ces cas.
Cela nous ramène au «petit poisson». Mon ordinateur portable privé, mal protégé, peut-être même dépourvus des patchs de sécurité actuels, ne constitue en soi qu’un objectif mineur. Mais dans le contexte d’une attaque en tant qu’élément d’un botnet, il intègre une machinerie globale et constitue ainsi le problème. Dans un contexte un peu différent: la boutique en ligne d’une PME n’est peut-être pas conséquente, mais elle génère néanmoins des charges pour l’entretien et les mises à jour récurrentes. La perspective de pouvoir économiser peut-être (en partie) ces charges pour des raisons de coûts est très tentante. Lorsque l’exploitant de la boutique y renonce, il laisse la porte entrouverte aux groupements criminels et leur accorde inconsciemment l’accès à son serveur. Les criminels en profitent alors p. ex. pour prendre connaissance des données de carte de crédit des clients durant le processus de paiement. Et ensuite piller le compte du client. La petite boutique en ligne devient soudain le tremplin d’une attaque de plus grande ampleur.
Il n’est pas possible de résoudre entièrement le problème. Dès que quelque chose présente de la valeur, il faut s’attendre à des tentatives d’escroquerie. Mais nous pouvons aborder le problème de manière ciblée. La protection des systèmes et des processus propres doit être intégrée et planifiée dès le début. Dans notre monde connecté actuel, il est également important de jeter un regard par-delà les limites de notre propre enclos, vers nos partenaires et nos clients. Si je le fais de manière systématique, je réaliserai non seulement des économies d’argent et de travail à long terme, mais je contribuerai également à protéger mes partenaires et mes clients. Un client qui se sent en sécurité et estimé préservera la relation d’affaires et continuera d’effectuer ses achats dans ma boutique.
Adrian Wiesmann est responsable IT Security chez PostFinance SA. Il invite volontiers à la réflexion via des titres d’articles de blog provocateurs. Adrian aime comprendre comment les choses fonctionnent. Pour cela, il lui arrive de les démonter pour en examiner soigneusement les différentes pièces. Sa partenaire procède ensuite au remontage.
