Internet
n'en finit plus de faire parler de lui. On clame haut et fort depuis
bientôt cinq ans que le Réseau n'est pas un espace de non-droit, on
sécurise, on encadre, on réglemente, on légifère de tous bords. Mais
nous voilà revenus à la case départ ! « La loi
de la jungle règne sur le Web : violence, terrorisme, piraterie... »,
titrait Le Figaro en février
dernier.
Wanted
: a genuine hacker !
Dans
une récente dépêche de l'AFP (13 mars 2000), nous apprenions que
l'inventeur de la carte à puce lui-même, le français Roland Moreno,
offrait un million de francs à qui réussirait , « à
la seule aide d'un micro-ordinateur et d'un lecteur de cartes à puces
», à violer le code secret d'au moins trois cartes à puces en circulation
ou « à écrire une information dans
la zone réservée d'une télécarte ».
Ce
défi intervient alors qu'une semaine auparavant, des pirates informatiques
avaient diffusé sur Internet la clé mathématique permettant d'utiliser
frauduleusement les millions de cartes bancaires circulant en France, d'en
fabriquer de fausses et de tromper certains terminaux de paiement. Françoise-Marie
Santucci (Libération) nous expliquait alors
que la menace était « réelle
et confirmée au plus haut niveau
de l'État, par le chef du Service central de la sécurité des systèmes
d'information (SCSSI), qui dépend du secrétariat général de la Défense
nationale ». La divulgation de cette clé, véritable « formule
secrète des cartes bleues »
qui tient en 96 chiffres, va-t-elle obliger les banques françaises à
remplacer les millions de cartes en circulation sur le territoire ainsi que
les lecteurs ou terminaux de paiement ?
M.
Moreno, dont la société Innovatron
détient les brevets de base de la carte à puce, reconnaît la
possibilité de fabriquer des fausses cartes grâce à la formule mathématique
diffusée sur Internet. Elles seraient acceptées par certains terminaux de
paiement qui n'interrogent pas les banques pour vérifier l'existence d'un
compte bancaire (comme les distributeurs de tickets de métro ou les péages
d'autoroute), mais, selon lui, « il
est impossible de lire ou de modifier une information qui figure sur la
puce, ni a fortiori d'en tirer le code secret à 4 chiffres ». Il a également précisé que le piratage de cette clé
ne pourrait en aucune façon affecter les distributeurs de billets, « qui
ne lisent que les pistes magnétiques des cartes ». La probabilité de
violer les cartes à puce existantes est donc très minime.
Le
vent de panique qui souffle actuellement autour du piratage informatique (hacking) trouve son origine dans les attaques massives perpétrées
à l'encontre des sites « vedettes » du Net marchand, en février dernier.
Opération très médiatisée qui a eu son impact sur l'opinion publique.
Un nouveau type d'attaque...
Dans
la semaine du 7 février 2000, plusieurs sites populaires ont été pris
pour cibles par de mystérieux hackers
aux motivations encore inconnues. Qualifiées de « refus
de service » (RDS) ou « denial
of service » (DOS) en anglais, ces attaques consistent à saturer un
site en submergeant de connexions le serveur qui l'héberge. Il suffit
simplement de se munir d'un logiciel et le mauvais tour est joué ! Les
avancées sont particulièrement spectaculaires dans le secteur des
logiciels dits RDS ou DOS. Une nouvelle génération de programmes a récemment
vu le jour. Offerts sur Internet depuis l'automne dernier, ils portent des
noms parfois énigmatiques (Trinoo ?),
ou ô combien évocateurs, comme le Tribal
Flood Network - en
l'anglais, le mot flood signifie inondation, débordement -.
Lundi
7 février dernier, les sites du portail Yahoo!
ont été bloqués pendant trois heures. Le lendemain, c'est au tour du célèbre
site d'enchères eBay , des sites
de commerce électronique Amazon.com et
Buy.com , et des grands sites
informationnels, comme CNN.com, d'être
mis « hors-service ». Mercredi, la vague a touché pendant plusieurs
heures le site de bourse en ligne E*Trade
(Le Monde du 11 février).
Certains sites français, hébergés par des serveurs américains, ont également
été touchés par cette déferlante. Seul MédiaCash
a officiellement déclaré un blocage d'accès à son site, pendant
dix-neuf heures. Le caractère coordonné de ces attaques non revendiquées
a produit un effet quasi-dramatique. Le gouvernement américain et le FBI se
sont immédiatement mobilisés. L'enquête est ouverte...
... un procédé pourtant « classique »
Malgré leur aspect
théâtral, ces attaques ne constituent pas à proprement parlé un piratage. À l'instar de Marie-Cécile Renault (Le Figaro économie du 11 février),
nous constatons que leur but était de mettre les sites hors d'usage,
en les bombardant avec un trafic énorme, mais pas de falsifier leur
contenu, ni de leur dérober des informations. En effet, les auteurs de ce
« crime » n'ont détruit aucun document, ni volé aucun numéro de carte
de crédit. « Ce n'est pas un voleur
qui s'introduit dans votre maison mais plutôt une bande de sales gamins qui
tirent la sonnette à longueur de journée pour vous empêcher de travailler
! », affirme Vincent Maret, expert de la sécurité chez Ernst
& Young. Les experts informatiques soutiennent que les hackers
ont utilisé des procédés « ultra-simples,
à la portée de tous » et que leurs attaques constituent « un
grand classique du genre » ! Si l'affaire a fait tant de bruit, c'est
que « des géants du secteur s'y sont
fait prendre », nous dit Marie-Cécile Renault.
Dans un dossier
spécial consacré à la question, Le
Figaro
économie
retrace la typologie
des sinistres ou procédés de piratage déjà connus. Nous les reproduisons
ci-après, en prenant soin de mettre en italique
les techniques utilisées lors des récentes intrusions :
-
«
planter » un serveur web ou le contaminer avec des virus ;
-
Modifier
les pages d'un serveur web ;
-
Récupérer
les adresses de ceux qui s'adressent à un serveur web ;
-
Déréférencer
l'adresse d'un serveur web dans les moteurs de recherche ;
-
Contrefaire
des noms de domaine ;
-
Noyer un serveur web en effectuant des connexions répétées et systématiques ;
-
Déposer
des fichiers compromettants piratés sur un serveur puis révéler leur présence au public ;
-
Pénétrer sur un serveur A puis attaquer d'autres serveurs B, C, D...
à partir du serveur A
;
-
Introduire
sur un site A une invitation à accéder à un site B concurrent ;
L'impact du sabotage
Les
récents événements nous révèlent la fragilité de l'infrastructure Internet
et la vulnérabilité des entreprises qui y sont présentes. Les .com's
touchées par ces attaques ont instantanément subi des pertes financières.
Selon les analystes du Yankee Group,
ces pertes s'élèvent à 1,2 milliards de dollars pour les quelques heures de
fermeture de leurs sites. La valeur boursière des entreprises en a également
pris un coup. Le Nasdaq, marché sur lequel les sociétés présentes sur le Web
sont cotées, a vacillé, entraînant avec lui la plupart des places boursières
internationales. Le titre Yahoo !,
dont la valeur boursière dépasse les 95 milliards de dollars, a ainsi baissé
de 2,7% au lendemain de l'événement. Sans compter l'impact de ces incidents
sur la confiance accordée par les cyberconsommateurs,
réels ou potentiels, au médium lui même. Ces attaques ont ravivé les
craintes sur la confidentialité et la fiabilité du Réseau. Selon un sondage Forrester
Research, 58% des consommateurs en ligne américains, pourtant internautes
« de la première heure », ont déclaré qu'ils ne retourneraient plus sur un
site ayant subi un assaut (USA Today du
11-13 février). Cette vague de sabotage constitue donc une sérieuse atteinte
à l'image de marque du commerce électronique, qui a déjà quelques difficultés
à développer et fidéliser sa clientèle.
Qui sont les « criminels » ?
Les
motivations qui conduisent les responsables à perpétrer de telles attaques,
contre les « grands » de notre monde virtuel, restent floues. Certains n'hésitent
pas à qualifier ces individus de « cyberterroristes
», de « political hacktivists »
ou autres sobriquets à tendance révolutionnaire. Piratage, sabotage,
conspiration, complot, enquête, FBI... l'Amérique panique mais existe-t-il un
véritable danger ?
À la différence des crackers,
qui s'introduisent frauduleusement dans des sites web pour les piller ou dans un
but lucratif, les hackers ne font que « visiter » (et parfois modifier) des sites, le
plus souvent officiels. Ils tentent de percer leurs défenses, afin d'en
démontrer la fragilité. Ils soulignent le manque de fiabilité des outils (fire-wall
ou autres) censés assurer la protection des serveurs hébergeant les sites
officiels. Gérard Nicaud
les qualifie de « surdoués de
l'informatique qui pénètrent dans des sites pour les tourner en dérision, généralement
avec un humour à la Charlie-Hebdo » (Le Figaro). Dans un monde manichéen, les hackers sont finalement
des « gentils » qui exercent leur talent dans le noble but d'alerter les
autorités sur les faiblesses de leurs réseaux informatisés. Le groupe 2600, une
des nombreuses associations hackers,
s'insurge d'ailleurs contre la désinformation dont ils font l'objet depuis les
récents événements. Certains membres réfutent vigoureusement le rôle de «
méchants » qu'on voudrait leur faire jouer, et suggèrent que les attaques « ont
parfaitement pu être réalisées par une personne qui n'a qu'une petite expérience
de l'informatique, (...) voire une poignée de gamins libertaires pour qui
Internet ne doit pas devenir un gigantesque supermarché
» ! (Le Figaro).
Les sanctions applicables
Les
autorités étatiques, les entreprises concernées et certains internautes
accordent beaucoup de crédibilité à ces attaques, qu'ils ne considèrent pas
comme de simples canulars. « Derrière,
ce sont les grands concurrents, ou les services secrets des pays qui défendent
les intérêts économiques de leurs entreprises » (Le
Monde). S'ils nous sont plutôt sympathiques, et que leurs actions peuvent
paraître « bon enfant », les pirates informatiques ne sont donc pas au-dessus
des lois.
Le
FBI, qui s'est sérieusement lancé sur la piste des hackers
anonymes, auteurs des attaques de février dernier, nous annonce que les
mauvais plaisantins risquent jusqu'à dix ans de prison, et sont passibles d'une
peine d'amende équivalente au double des sommes perdues par leur victime. En
France, les « saboteurs » tombent sous le coup des dispositions du code pénal,
qui inflige trois ans d'emprisonnement et 300 000 francs d'amende, à toute
personne qui aurait « entravé ou faussé le fonctionnement d'un système automatisé de données
» (cf. dossier du Figaro).
Ce
qui est certain, c'est que l'enquête s'annonce ardue. Pas évident, en
effet, de retrouver les traces virtuelles ou l'identité des auteurs !
Ils « squattent
» généralement des systèmes informatiques innocents, comme ceux
des fournisseurs d'accès Internet, pour lancer leur afflux de messages et
brouiller les pistes. Le gouvernement américain est particulièrement
sensibilisé. Il a d'ores et déjà décidé de « former
ses policiers à la détection des cybercriminels ». Et devinez qui a
hérité, à mots couverts, de ce mandat ?... Microsoft, bien sûr ! (cf. chronique
Multimedium du 22 mars 2000).
Coup de bluff ?
Avant
de crier au complot organisé ou à l'invasion des pirates, il serait
utile de mesurer l'impact réel
, pour autant qu'il y en ait un, des débordements du mois dernier. Les dégâts
ont été minimes. La mise hors-service des sites n'a pas eu de conséquences
« dramatiques », puisqu'aucun chantage n'a été exercé, aucune donnée
n'a été perdue, aucun fichier n'a été violé et que les renseignements
confidentiels relatifs aux consommateurs des sites attaqués n'ont pas été
détournés.
Bill Clinton
lui-même a dit qu'il ne fallait pas réagir de manière excessive, mais
plutôt renouveler de vigilance afin de préserver un système
informatique ouvert, qui ne soit pas « injustement
bloqué par des lois ou des taxes ». Les cybermarchands
se veulent, eux aussi, plutôt sereins. Comme le fait remarquer un expert
français en sécurité réseaux, « il
faut parler de ce type d'attaque en termes de sabotage, il n'y a pas
d'intrusion dans les sites et on ne brise pas un système de défense »
(cf. l'article
consacré au sujet dans le Journal du Net). Sans compter qu'il
existe toute une kyrielle d'outils techniques, logiciels et autres filtres
destinés à repérer les
anomalies de trafic sur Internet, mais « les
sites préfèrent ne pas les activer car ils ralentissent le temps de réponse
des machines aux clients légitimes » (Le
Figaro).
Alors,
les grands noms de la nouvelle e-économie
sont-ils véritablement en danger et le piratage informatique sonne-t-il
le glas de la sécurité sur le réseau ?
Nous
pouvons nous demander si, sous couvert de lutte contre de
mystérieux pirates (qui, pour le moment, nous font plutôt l'effet
de fantômes), il n'y a pas là un moyen insidieux de limiter la liberté
d'action sur le Réseau ou de porter atteinte à la vie privée des
utilisateurs. Pour certains, toute l'affaire a été manigancée par le Big Business américain,
cousin du Brother, à la veille
de la déposition au Congrès d'une loi relative à la sécurité sur le
Net. Selon eux, « les entreprises
auraient elles-mêmes orchestré cette attaque pour obtenir des lois
permettant de connaître l'identité des internautes en visite sur leurs
sites commerciaux » ! (Cf.
article publié dans l'hebdomadaire montréalais Voir
du 17-23 février).
Submergés
d'informations contradictoires, nous sommes bel et bien au bord de l'overdose. Cependant, est-il besoin de sombrer à nouveau dans la paranoïa
collective ? Souvenez-vous,
la fin du monde, l'an 2000, son Bug...
J. A.
