Sécurité informatique : nos institutions sont-elles protégées ?
Depuis l’avènement des «autoroutes de l’information», les cyber-attaques à travers le monde ont littéralement explosé. Les histoires d’intrusion sur des systèmes informatiques ne manquent pas et sont souvent relayées par les médias comme des exploits. Qui ne connait pas Kevin Mitnick, ce fameux hacker de 31 ans, qui, en 1995, a subtilisé plus de 20 000 numéros de cartes de crédit et en détournant pour 1 million de dollars d’informations volées ?
Depuis l’avènement des «autoroutes de l’information», les cyber-attaques à travers le monde ont littéralement explosé. Les histoires d’intrusion sur des systèmes informatiques ne manquent pas et sont souvent relayées par les médias comme des exploits. Qui ne connait pas Kevin Mitnick, ce fameux hacker de 31 ans, qui, en 1995, a subtilisé plus de 20 000 numéros de cartes de crédit et en détournant pour 1 million de dollars d’informations volées ?
Les entreprises publiques ou privées sont de plus en plus nombreuses à ouvrir leurs systèmes d’information à leurs partenaires ou fournisseurs. L’internet est devenu un outil incontournable dans notre quotidien. Les ordinateurs sont presque tous interconnectés, que ce soit par les réseaux intranet (réseau interne de l’entreprise ou réseau privé) ou les réseaux internet (réseau public). Ainsi, la sécurité informatique pour protéger les données et éviter les intrusions indésirables s’avère nécessaire pour les entreprises ou même les particuliers. Apparaissent alors dans ce monde obscur pour le commun des mortels les hackers.
Le hacker voue une véritable passion pour les systèmes de sécurité informatique. On peut en distinguer trois types, en excluant ceux qui piratent dans le seul but de détruire des données : ceux qui pénètrent les systèmes en considérant cela comme un simple défi. Généralement, ceux-là préviennent alors l’entreprise qui a été piratée de la faille de sécurité afin que celle-ci puisse apporter les corrections nécessaires. Il y a également ceux qui piratent dans un but lucratif. Motivés par l’argent, ils parviennent à récupérer des codes d’accès, des numéros de carte de crédit ou même des comptes paypal (Paypal étant un service de transfert d’argent entre particuliers et entreprises). Ces mêmes hackers parviennent, aussi, à vendre des informations obtenues par piratage à des tiers (secrets industriels ou autres). Enfin, il existe des hackers – la grande majorité – qui s’attaquent à des systèmes informatiques pour faire passer une idéologie ou transmettre des opinions politiques. Le groupe Anonymous, sans jeu de mots, étant le plus connu pour avoir attaquer des sites internet de grandes institutions, gouvernementales ou autres, en Europe ou aux Etats-Unis. Leurs exploits sont souvent relayés par les médias en grande pompe.
En Algérie, nous assistons à des cas similaires basés sur le contentieux entre l’Algérie et le Maroc sur le Sahara Occidental. Nombreux sont les sites internet de ministères algériens piratés par des groupes marocains. Bien que passé sous silence, le monde de la sécurité informatique est au fait que le site du ministère des Finances algérien ou le site de la Banque extérieure d’Algérie ont été piratés par des hackers marocains. En représailles, des hackers algériens mettent alors un point d’honneur pour pirater les sites marocains. Les conflits géopolitiques ou idéologiques s’installent sur le réseau internet : Israël-Palestine, la Chine et ses dissidents, les institutions financières et l’extrême gauche ; les exemples ne manquent pas.
On peut alors se poser la question : pourquoi n’arrive-t-on pas à assurer une sécurité informatique à 100% ? La raison est qu’un système informatique parfaitement sécurisé n’existe pas. Cela dit, il n’est pas impossible de réduire le risque au maximum quand certaines règles sont respectées par les ingénieurs en informatique. Encore, faudrait-il que les dirigeants prennent conscience de l’importance de la sécurité informatique dans leurs entreprises. Les talents algériens qui officient sur Internet pour pirater les sites internet étrangers ou même algériens doivent être mis à contribution pour protéger nos institutions. Leurs compétences doivent être reconnues et utilisées à bon escient pour rejoindre l’autre côté de la barrière. Notons-le, l’Algérie intéresse beaucoup les organismes étrangers ou concurrents pour se constituer un flux d’informations continu. Rien n’est pire que la passivité en sécurité informatique : les systèmes sont peut être corrompus, accessibles, laissés à leur sort et on y pénètre sans que l’on s’en aperçoive, et ce, par manque de moyens, de volonté, de formation ou de compétences !
Pour exemple, la France a considéré ce problème comme étant une question d’envergure nationale. Les attaques informatiques contre des infrastructures françaises sont considérées comme un risque majeur en mettant en exergue «l’impact potentiellement fort sur la vie de la nation». Ce qui est tout à fait juste vu la place prise de l’informatique dans le développement de la société d’information, ainsi «que l’utilisation de plus en plus poussée dans les processus essentiels de l’Etat et de la société». Tout naturellement, l’Agence nationale de la sécurité des systèmes d’information, rattachée aux services du Premier ministère français, a vu le jour et a pour principales missions de veiller, détecter, prévenir et contrer toute attaque informatique, aussi massive soit-elle, sur les réseaux de l’Etat. A noter que les personnes travaillant pour cette agence sont soumises à une procédure d’habilitation de type «secret défense». Tout le monde ou presque connait le plan «Vigipirate». Mais qui connait le plan «Piranet» ? Du même style que «Vigipirate», ce plan à l’échelle gouvernementale est déclenché et consacré à l’intervention de l’État en cas de crise majeure d’origine informatique. De ce fait, il est un des piliers de la stratégie de défense informatique française.
En Algérie, les autoroutes de l’information sont-elles moins sécurisées et l’Etat a-t-il mis en place les moyens pour sécuriser tout type de données à caractère hautement confidentiel ? Possède-t-on une agence capable de contrer une attaque informatique, en période sensible, contre d’éventuels ennemis ? La réponse à ces questions est assurément non. Il est urgent de prendre ce problème, tant qu’il est encore temps, à bras le corps.
Preuve à l’appui, le 24 février dernier, le site de la Chambre algérienne de commerce et d’industrie (www.caci.dz) a vu sa première page complètement modifiée par un hacker du nom de «Damane2011». Les organismes suivants ont vu leur site internet modifié dans un passé récent : l’université de Sétif, Cosider groupe, Sonelgaz, Ministère des Finances, le CERIST (www.wissal.dz et www.nic.dz), l’Entreprise de gestion des services aéroportuaires (EGSA : www.egsa-alger.dz piraté 4 fois), l’Agence nationale de développement de l’Investissement (www.andi.gov.dz), le ministère de la Culture, la Caisse nationale du logement et pour finir – cette liste n’étant pas exhaustive, on dénombre près de 300 sites officiels algériens piratés – même le ministère de la Poste et des Technologies de l’information de la communication a vu son site piraté le 7 avril 2011.
Tous ces sites ne sont pas uniquement piratés par des étrangers, il s’avère que des hackers algériens n’hésitent pas à le faire. Encore une fois, il ne s’agit que de la partie visible de l’iceberg. De plus, il n’a pas été établi si des informations ont été détournées pour être utilisées à mauvais escient.
Mais comment font-ils ? «Un jeu d’enfant», répondront ces hackers. Les systèmes sont tellement mal sécurisés, en sus d’une négligence manifeste de la part des concepteurs (pas de mises à jour, pas de tests d’intrusion et pas d’audit de sécurité) qu’en quelques minutes, la faille peut être détectée. Le plus grave est qu’il ne faut pas être un hacker chevronné pour y parvenir. En effet, dans le monde de la sécurité informatique, les procédures pour pirater sont publiées le plus normalement du monde sur la Toile. C’est ce que l’on appelle des «exploits». Il suffit d’appliquer un «exploit» sur un système dont la faille est connue pour parvenir à son but. Autant dire qu’un informaticien avec de bonnes connaissances des systèmes réseaux ou de systèmes d’exploitation (Linux étant le système d’exploitation préféré des hackers par rapport à Windows) peut y parvenir en quelques heures.
Le plus dur est de découvrir un nouvel «exploit» sur des systèmes dont les failles ne sont pas connues. Ainsi, de simples mises à jour, accompagnées de programmations rigoureuses, peut rendre la tâche plus difficile aux hackers. Dans ce monde-là, ces hackers sont beaucoup moins nombreux. Le reste est considéré comme des «script kiddies» ou des «gamins utilisateurs de script», souvent reniés par la vraie communauté des hackers, car ils ne font qu’utiliser des programmes de piratage écrit par les autres. Toutefois, ils demeurent une menace réelle pour la sécurité informatique, car ils sont capables de pénétrer un système avec obstination.
L’Algérie n’a pas encore franchi le cap des paiements bancaires en ligne. Mais gageons que lorsque ce moment arrivera – et il arrivera inéluctablement –, les fraudes à la carte de crédit se multiplieront si une politique efficiente de l’Etat algérien n’est pas mise en place pour assurer la sécurité informatique des institutions bancaires ou autres. Les systèmes d’information doivent également être sécurisés. Les sites internet ne sont que des vitrines, mais qu’en est-il des réseaux privés et internes de nos institutions ? L’Algérie est mal lotie dans le cyberespace où la guerre technologique a déjà commencé.
Adel Hakimi