| Les nuisances des pirates sont souvent inoffensives. Mais ne les laissez pas jouer derrière une faille de sécurité. Vous risquez d´avoir des surprises. Une intrusion anodine cache parfois autre chose. Si les vrais hackers risquent la prison, les entreprises quant à elles peuvent payer très cher une intrusion malveillante. Les récits de responsables sécurité.
Tous les pirates ne se ressemblent pas. On trouve des gamins qui emploient des techniques éprouvées par leurs aînés pour modifier la page d´accueil d´un site, y inscrire leur nom ou celui de leur groupe.
Les sites de Renault et Sony en ont fait récemment l´expérience (voir http://www.zataz.com/hacked). Mais cela reste semblable à un simple graffiti sur un mur.
Les véritables hackers sont quant à eux capables d´actions bien plus offensives et dangereuses. Ainsi, AnnuPro n´avait subi en apparence qu´un détournement de sa page d´accueil. En réalité, le serveur a été utilisé comme passerelle pour une attaque électronique d´une toute autre envergure.
Quelques jours après le forfait, l´hébergeur du site est contacté par l´agence spatiale américaine : à travers Annupro, c´était la Nasa qui était visée. "Un groupe de hackers a utilisé notre serveur Linux pour narguer un groupe de pirates pakistanais", reconnaît un des responsables. Une agression plus "compétitive que nocive", pour l´annuaire professionnel, qui n´a finalement coûté qu´une après-midi de réparation."A partir du moment où on a un serveur, les tentatives d´intrusion sont quotidiennes", estime Frédéric Chasseux (photo), administrateur système chez le fleuriste Aquarelle.com. En 1999, la presse révélait que les numéros de cartes bancaires des clients d´Aquarelle étaient accessibles de l´extérieur. Une erreur dûe à une faille de sécurité dans le serveur d´Aquarelle exploitée par un journaliste pour prouver la perméabilité du Net.
Les trois leaders du marché des serveurs (Enterprise de Netscape, IIS de Microsoft, et Apache) ont chacun leurs faiblesses. Et les hackers ne se privent pas de les exploiter.
Ainsi, début mars 2001 Atos a subi un bug appelé "unicode" qui a révélé les failles de sécurité de ses serveurs gérant les transactions électroniques de nombreuses entreprises.
La loi, limite de la sécurité Une des méthodes qu´utilisent les hackers consiste à scanner une multitude d´adresses IP et pénétrer les moins protégées. En plus de son firewall, Frédéric Chasseux a mis en place un monitoring constant. Il peut ainsi établir une liste des tentatives d´intrusions et remonter jusqu´aux adresses IP correspondantes et donc aux fournisseurs d´accès.
Mais il n´est pas évident que le fournisseur d´accès hébergeant l´intrus réprimande les responsables. "C´est comme si des cambrioleurs frappaient à toutes les portes et fenêtres des entreprises pour voir s´ils peuvent y entrer. Et la police observerait de la rue sans intervenir", constate-t-il. C´est là que les besoins en sécurité des entreprises se heurtent à la législation : les fournisseurs d´accès ne sont pas la police.La palette des dommages que peut subir une entreprise après une intrusion est très large : perte de données, espionnage industriel, introduction de troyens ou de mouchards.
Aucun administrateur réseau ou système ne se risquera à avouer qu´il a été victime d´espionnage de la part d´un concurrent ... ou qu´il est lui même auteur d´une tentative d´espionnage.
Le monde des pirates Zataz.com, site spécialisé dans "l´underground" et le monde des hackers, a établi une liste de 117 sites, commerciaux, associatifs et institutionnels qui ont subi - certains plusieurs fois - des attaques de hackers plus ou moins mal intentionnés.
Pour la plupart des cas, les dégâts ont surtout coûté à l´image de marque de la société, et par conséquent à celle de l´Internet et du commerce électronique.
|