trop e sites ne font pas le maximum pour les protéger

PAYS : France
RUBRIQUE : Dossier
PAGE(S) : 76-78
DIFFUSION : 232507
SURFACE : 240 %
JOURNALISTE : Par Jean Botella
PERIODICITE : Mensuel
1 décembre 2015 - N°192
DONNEES
PERSOS
TROP E SITES NE
FONT PAS LE MAXIMUM
POUR LES PROTÉGER
Certes , les hackers redoublent d ingéniosité pour piller nos data , mais le laxisme
des entreprises en matière de sécurité numérique leur facilite la tâche . Démonstration.
'
homme était pourtant
bien placé pour savoir
il agissait d un
péché
capital . Pasteur à
La Nouvelle-Orléans ,
John Gibson
fréquentait
le site canadien de rencontres
adultères Ashley Madison . En
secret
à ce que , l été
, bien sûr . Jusqu'
dernier , des hackers siphonnent
les noms de plus de 30 millions
d inscrits , dont celui de Gibson , et
les mettent en ligne avec adresses
e-mail et détails sur leurs
préférences
sexuelles . Marié et père de
deux enfants , le pasteur
a pas
tenu le choc . Il est donné la mort
un mois plus tard.
Cette affaire tragi-comique en dit
long sur l incroyable légèreté avec
laquelle les sites protègent nos
pedigrees . On croyait telle
d e-commerce invulnérable , tel
enseigne
réseau social protégé comme Fort
Knox? Eh bien , non . Partout des
failles existent , au bonheur des
siècle.
hackers
, ces Barbe-Noire du
ils
Selon la nature des données
parviennent à voler , ils ont ensuite
l embarras du choix: usurper des
identités pour acheter des produits
en ligne , piller des comptes en
banque , exiger des rançons ,
revendre
leur butin au plus offrant sur
le dark Web , l Internet caché ... Un
boulevard .D autant que beaucoup'
d entreprises ont une fâcheuse
tendance
à baisser la garde ( lire page
ci-contre) , malgré les injonctions et
'
s'
qu'
'
'
n'
s'
'
'
qu'
'
'
'
'
menaces d amendes des autorités
du numérique , comme en France
la Cnil , leur rappelant leurs devoirs
en matière de protection des
. Pire , «les investissements en
données
équipements de sécurité ont
reculéde 7%% en un an» , alarme
Marc-Antoine
Parrinello , expert
chez Barracuda Networks.
De fait , le nombre d effractions
explose: 80%% entre 2013 et 2014,
selon SafeNet . L achat en ligne le
plus anodin peut ainsi virer au
cauchemar
. Commander une pizza ,
par exemple . L an dernier , 650 000
clients
et belges de
français
Domino'
s Pizza l ont découvert à
leurs dépens . En un tour de clic , les
pirates du collectif Rex Mundi ont
réussi à aspirer leurs profils . Puis
menacé l enseigne de tout
diffuser
sur le Net si une rançon de
30 000 euros
était pas versée.
Officiellement , le pizzaiolo
est
pas passé àla caisse.
Même les plus grands du
hightech
sont vulnérables . En
septembre
dernier , Apple a reconnu
que des applications malveillantes
avaient été diffusées sur l App
Store , risquant de contaminer des
centaines de millions d iPhone et
d iPad et de mettre à découvert
toutes leurs données . Cette fois , on
peut parler de prouesse
. Les hackers ont carrément
technologique
diffusé aux développeurs
employés
par la marque une version
trafiquée de Xcode , le langage
'
s'
'
'
'
'
'
n'
n'
'
'
'
utilisé
pour créer les applis
vendues
surie site d Apple.
'
Mais comment les pirates
parviennent-ils
à faire tomber les digues?
Déjà , ils profitent du manque de
vigilance des internautes . «A l
de la plupart des attaques , il y
origine
a en face une erreur humaine» ,
constate le contre-amiral
Riban , numéro 2 de l Agence
Dominique
nationale de la sécurité des
systèmes
d information
(Anssi) .
Rattaché
au Premier ministre , cet
organismerassemblant 500 as du
clavier veille à sécurité des «
d infrastructures
vitales»
opérateurs
(télécoms , énergie) des industriels
et bientôt des particuliers . «Il suffit
d ouvrir la pièce jointe d un
anodin pour
courriel
apparemment
permettre à l attaquant de prendre
la main sur un ordinateur» ,
le contre-amiral.
souligne
Au pôle judiciaire de la
gendarmerie
nationale , le Centre de lutte
contre les criminalités numériques
(C3N) intervient fréquemment sur
ce type d affaire . Sa bête noire du
moment : Dridex , un «malware»
bancaire qui a fait des ravages cette
année auprès des sociétés et des
particuliers . Une fois niché dans
une machine , ce redoutable cheval
de Troie est en mesure de
récupérer
des numéros de compte et de les
transmettre à un serveur distant ,
lequel va ordonner des virements
en France ou àl étranger .«Environ
32 000 machines seraient infectées
'
LES
CODES
D ACCÈS
À L ESSAI
'
'
'
'
'
'
'
'
'
'
Conduite auprès
des 25 premiers
'
sites d e-commerce
'
en France , l enquête
de Dashlane , un
éditeur de solutions
de gestion des
identités et des
paiements , a retenu
21 critères pour
tester leurs
exigences
quant aux mots
de passe de leurs
utilisateurs.
Notamment:
s'
sa
longueur minimale ,
il doit comprendre
un chiffre ou une
majuscule , si un
e-mail de
confirmation
est envoyé
lors de sa création ,
'
si l ancien mot de
passe est accepté
en cas de
changement
et si une
connexion reste
possible après
quatre tentatives
infructueuses.
Tous droits de reproduction réservés
PAYS : France
RUBRIQUE : Dossier
PAGE(S) : 76-78
DIFFUSION : 232507
SURFACE : 240 %
JOURNALISTE : Par Jean Botella
PERIODICITE : Mensuel
1 décembre 2015 - N°192
PAR
JEAN
BOTELLA
LES MOTS DE PASSE EXIGÉS PAR CERTAINS
DES PASSOIRES!
SITES D E-COMMERCE?
'
RUE DU COMMERCE
constat est alarmant» ,
inquiète Guillaume
Desnoes, auteur de l étude
Dashlane sur la sécurité de
l identification en ligne des
principaux sitesd e-commerce.
Parmi les 25 enseignes
étudiées , seules quatre
- Apple , Auchan , Alloresto et
Carrefour - exigent un mot de
passefort , composé d au
moins 8 caractères
comportant
une majuscule et un
chiffre . Seule façon de
décourager
leshackers . Mais on est
surpris de voir parmi les mau
vais élèves des grands noms
de la distribution . Et que dire
des commerçants comme
Castorama qui envoient
lemot de passe du nouvel
utilisateur en clair par e-mail !
s'
'
'
DECATHLON
>
requièrent
de mot
de passe
alphanumérique
pas
CDISCOUNT
'
/
'
LA REDOUTE /
CASTORAMA
SHOWROOMPRIVE
OSCARO
LA REDOUTE
SARENZA
ont un score
négatif
, car ils ne
respectent
pas
les règles
de base
CARREFOUR
Les 9 sites les plus exigeants ...
AMAZON
ON
FNAC
ne bloquent
pas
les comptes
après
10 tentatives
de connexion
LEROY MER
ZALANDO
acceptent
les pires
toujours
mots de passe
du type ABC123
BRANDALLEY
Tous droits de reproduction réservés
PAYS : France
RUBRIQUE : Dossier
PAGE(S) : 76-78
DIFFUSION : 232507
SURFACE : 240 %
JOURNALISTE : Par Jean Botella
PERIODICITE : Mensuel
1 décembre 2015 - N°192
LE RESPECT DE
40 PRÉCAUTIONS
DE BASE
PERMETTRAIT
DE STOPPER
80%% DES
"
pellations , le virus est réapparu ,
notamment en France . Car si les
pirates ont souvent le champ libre ,
est aussi que les entreprises ne se
protègent pas assez . «Nous avons
établi un guide d hygiène
de 40 règles , indique le
informatique
contre-amiral Riban .Les respecter
permettrait d arrêter 80%% des
. » ( Lire ci-dessous .) Quant
attaques
au patron du C3N , il hésite pas à
marteler des précautions basiques.
« assurer que tous les serveurs ,les
postes et les sites ont des
composants
à jour , par exemple .»
Une fois la ceinture de sécurité
ajustée
, on peut rajouter des bretelles.
Notamment
en protégeant les
boîtes mails , la spécialité d une
start-up lilloise , Vade Retro . «
Chaque
jour , nos machines analysent
1 milliard de messages : leur
, leur construction , précise son
origine
P-DG , Georges Lotigier . Au total ,
8000
sont passés
au
paramètres
crible .» D autres , comme MobileIron ,testent la protection des
terminaux
mobiles dans les entreprises ,
lue les salariés utilisent aussi
souvent
pour leurs besoins personnels.
«Dans une entreprise sur dix , au
moins un équipement mobile est
compromis» , assure son dirigeant
c'
'
CYBERATTAQUES"
'
n'
S'
dans notre pays», estime le colonel
Nicolas Duvinage , le chef du C3N.
« Nous avons
récemment
traité le
cas d une PME à qui les pirates ont
soutiré 500000 euros et dont les
45 emplois sont aujourd hui
menacés»
une
, explique-t-il . Dès
plainte est déposée , ses équipes
cherchent la trace des
cybercriminels
. Elles les pistent suries forums
de hackers , dont certains lâchent
parfois des informations
compromettantes
,épient discrètement les
réseaux sociaux , sillonnent le dark
Web en quête d indices . Mais la
lutte est sans fin . En octobre
dernier
, le FBI a bien cru démanteler le
réseau à l origine de la diffusion du
fameux Dridex . Las , quelques
semaines
après les premières inter'
'
'
qu'
'
'
'
IL DIRIGE LES LIMIERS DU NET
Diplômé de Polytechnique
et de Telecom ParisTech,
un profil plutôt rare dans la
gendarmerie , le colonel Nicolas
Duvinage dirige le C3N.
IL CHASSE
LES VIRUS
Cet as du clavier
cherche à éradiquer
un virus bancaire
qui se propage
via les e-mails et
aurait rapporté
9 millions d euros
aux criminels.
'
pour la France , Sid-Ahmed Lazizi.
Une anomalie est repérée ?MobileIron alerte l utilisateur et , si
nécessaire
, supprime à distance les
données et les applications
de
l entreprise stockées sur l appareil ,
voire bloque son accès au réseau
interne . De quoi éloigner , pour un
temps , les cyber Rapetou .G
'
'
'
LES PARADES
ils
Exiger de ses salariés
séparent
les usages professionnels
qu'
des
de leurs terminaux
usages personnels
durs
, clés USB , disques
( messagerie
externes , etc . ) .
les
' Configurer
logiciels
utilisés par l entreprise
pour que
les mises à jour de sécurité
installent
.
Sensibiliser les
automatiquement
collaborateurs
au choix de mots de
passe efficaces . Des méthodes
être retenues
comme
simples
peuvent
la phonétique:
« ai acheté 5 CD pour
100 euros cet après-midi»
donnera:
Par ailleurs
que les mots de passe ne
rappeler
doivent
dans ' les
pas être préenregistrés
lors de l
navigateurs
, notamment
'
utilisation d un ordinateur
ou
public
( salons professionnels
.
partagé
mission
deplacements , etc . ) .
,
un signe distinctif
( pastille
apposer
de couleur)
sur vos appareils
pour
assurer
ils
ont pas été
désactiver
les fonctions
Wi-Fi
échangés
et Bluetooth.
s'
J'
En
s'
qu'
n'
ELLE INFILTRE
LES PIRATES
Cette pro de
l informatique
incruste dans les
forums de hackers.
Vingt enquêtes
sont en cours
pour démanteler
des réseaux.
'
s'
LA MISSION
DE
CES GENDARMES:
TRAQUER
LES HACKERS
une plainte au
Dèspénal est déposéepar
qu'
une entreprise ou un
internaute
,ils interviennent. Au
total , 2000 cyberenquêteurs
répartis sur tout leterritoire
nationalopèrent sousle
pilotage du Centrede lutte
contre lescriminalités
numériques(C3N),à Pontoise.
Ils interviennentdansdes
affairestrès variées:atteinte
auxsystèmesde traitement
automatique de données
(terminal de paiement, par
exemple), pédopornographie,
apologie du terrorisme..
Tous droits de reproduction réservés