Archive des chroniques "Cybernotes de Bertrand Salvas", telles que publiées dans le magazine "Entracte"
de la Chambre des notaires du Québec et autres contributions en droit des technologies de l'information.

Décembre 2003 >>> Bidouilleurs, tomates et sécurité

Connaissez-vous l’histoire d’un homme qui postule sur un poste de déboucheur de cuvettes chez Microsoft? Or notre ami doit renoncer car il n’a pas d’adresse courriel, formalité obligatoire pour poser sa candidature. Découragé, avec seulement dix dollars en poche, le pauvre homme décide d'acheter une caisse de tomates et de les vendre de porte en porte. Ayant dans sa journée réalisé un profit de vingt dollars, il décide de répéter l’expérience le lendemain. Réalisant toujours plus de profits, il aboutit cinq ans plus tard à la tête d’une importante entreprise de distribution de fruits et légumes. L’inévitable arrive alors, un client lui demande son adresse de courriel pour lui envoyer une proposition. Notre ami répond qu’il n’en a pas. Le client surpris constate qu’il est parvenu à devenir millionnaire sans avoir jamais eu d’adresse courriel, et lui demande d’imaginer jusqu’où il serait allé s’il en avait eu une. Notre ami lui répond : « Très simple : je déboucherais des cuvettes chez Microsoft ».

Utiliser les technologies de l’informations n’est pas une fin en soi. Il ne font que nous donner des moyens de remplir plus efficacement nos tâches. Mais à partir du moment où on décide de plonger, il est primordial de respecter les règles du jeu. Il en va de notre sécurité et de celles des autres.

Au nom de la loi, protégez-vous!

Il ne s’agit pas ici du slogan d’une nouvelle campagne de prévention des MTS, mais bien de la nouvelle direction que semble vouloir prendre le gouvernement américain en matière de sécurité informatique. Bien plus douce que la loi adoptée à Singapour qui permet l’arrestation et l’emprisonnement sans procès de pirates informatiques présumés[i] , le projet de loi déposé au Congrès américain forcerait plutôt les compagnies publiques à prendre au sérieux la sécurité de leurs réseaux[ii].

Dans mon esprit tordu, il y a pourtant un lien à faire avec les MTS, car pour la grande entreprise le fait d’être victime d’une attaque informatique peut être assimilé à contracter une maladie honteuse. Une étude menée par le FBI au printemps passé démontrait en effet qu’à peine trente pour cent des entreprises ayant subi de telles attaques les ont rapportées aux autorités[iii]. La plupart réparent les dégâts subis et passent à autre chose, sans nécessairement renforcer leurs systèmes pour se prémunir contre de nouvelles attaques. Faut-il conclure à de l’irresponsabilité, à une méconnaissance des conséquences globales de tels événements ou tout simplement à la crainte de montrer à la face du monde que son infrastructure informatique était déficiente? Peu importe les raisons, ce comportement empêche malheureusement les autorités publiques d’intervenir et contribue de ce fait à encourager le bidouillage (« hacking » ) et la production de virus.

S’inspirant de la procédure mise en place à la veille du bug de l’an deux mille, le congrès suggérait donc d’imposer aux compagnies publiques américaines l’obligation de se soumettre la sécurité de leurs systèmes informatiques à un audit et d’en faire rapport au Securities and Exchange Commission. Cette démarche vise à prioriser la sécurité informatique aux yeux des grandes entreprises, et à réduire le nombre d’attaques informatiques. Mais comme il arrive souvent chez nos amis du Sud, la grande entreprise a réussi à retarder le processus d’adoption de cette loi en proposant au comité responsable d’élaborer sa propre politique auto-régulatrice en ce domaine. Le comité attendra donc de recevoir ces propositions avant de décider de les accepter ou de remettre son propre projet sur les rails. Mon petit doigt me dit cependant que la solution de l’entreprise devra être très sérieuse. L’État américain n’entend pas vraiment à rire sur la sécurité en cette période de guerre au terrorisme, et surtout face aux rumeurs qu’un virus aurait pu causer la méga-panne électrique sur la côte Est l’été dernier. La sécurité informatique devient une affaire d’État mes amis...

Et moi dans tout ça?

Chacun d’entre nous contribue à la force ou à la faiblesse du réseau. Un simple ordinateur personnel lancé sans protection sur le Web risque non seulement d’être infecté et même rendu inutilisable, mais peut fort bien aussi, à l’insu de son propriétaire, servir de rampe de lancement pour lancer des attaques. Souvenons-nous, il y a quelques années, de cette entreprise québécoise qui avait été malgré elle impliquée dans une affaire de piratage. Laissé sans protection pour la fin de semaine, en milieu d’installation mais déjà raccordé à Internet par câble haute-vitesse, son réseau informatique avait été victime d’une prise de contrôle par des bidouilleurs cherchant à s’introduire dans les réseaux du FBI ou de la CIA. Incident isolé? Un groupe de bidouilleurs professionnels travaillant au service de l’industrie du pourriel (« spam ») prétend aujourd’hui contrôler de l’espace disque sur plus de 450,000 ordinateurs personnels qu’elle utilise pour héberger des sites Web illicites[iv].

Que faire alors? Rappelons à nouveau les règles de base. Tout d’abord installer, et surtout tenir à jour, un bon logiciel anti-virus. Ensuite, installer religieusement les mises à jour de votre système d’exploitation (ex. Windows) dès qu’elles sont émises par le fabricant, car elles visent dans la plupart des cas à colmater des brèches découvertes et utilisées par les bidouilleurs. Cette précaution est très importante car la publicité entourant ces mises à jour vient paradoxalement informer certains bidouilleurs de l’existence des faiblesses des systèmes d’exploitation. Ceux qui tardent à les installer sont donc particulièrement vulnérables. Finalement, si vous disposez d’une connexion permanente au Web, installez un mur coupe-feu. Ce type de système, qu’il s’agisse d’un appareil indépendant ou d’un logiciel comme « Zone Alarm »[v], protégera votre système des intrusions en l’isolant du réseau. Il vous permettra de décider lequel de vos logiciels pourra accéder au Web et même de couper la connexion manuellement si vous vous absentez ou si vous soupçonnez quelque chose de louche. Et dans le doute, consultez un spécialiste qui pourra vérifier votre système.

À la prochaine!



[i] "Singapore toughens laws to combat cyber terrorists\", Yahoo headlines, 11 novembre 2003, http://uk.news.yahoo.com/031111/323/edlj4.html (Pour calmer les inquiétudes face à l’aspect totalitaire de cette mesure, le ministre responsible a déclaré: “ people should rely on the professionalism and integrity of authorities not to abuse the new laws”. J’aurais dû y penser!

[ii] Congressman Puts Cybersecurity Plan on Hold, Brian Krebs, Washington Post, 4 novembre 2003, http://www.gocsi.com/forms/fbi/pdf.jhtml

[iii] http://www.gocsi.com/forms/fbi/pdf.jhtml

[iv] "Cloaking Device Made for Spammers\", Brian McWilliams, Wired News, 9 octobre 2003, http://www.wired.com/news/business/0,1367,60747,00.html

[v] http://www.zonelabs.com

Aucun commentaire:

Publier un commentaire