/news/homepage

Un expert en sécurité à la rescousse contre Anonymous

Michel Thibault

L'offensive d'Anonymous au Québec a entraîné un branle-bas de combat chez Éric Parent, qui se spécialise en sécurité informatique. Reconnu mondialement, ce résidant de Léry, en Montérégie, a reçu de multiples appels à l'aide de dirigeants d'entreprises et de sites gouvernementaux.

«On est en crise. Je travaille vingt heures par jour. Mon sous-sol est transformé en centre de gestion de crise», a affirmé le président de Logicnet, une firme spécialisée dans la sécurité informatique, qui a des bureaux au Canada, au Royaume-Uni et en France.

Selon M. Parent, la vaste majorité des entreprises et des institutions se protègent mal contre les intrusions via internet. Quand un phénomène comme celui d'Anonymous se produit, « c'est toujours une grosse surprise. On pensait que tout était beau. On se pense invincible jusqu'à ce qu'on tombe malade et là, on est comme un bébé, a illustré le spécialiste. Les entreprises n'agissent pas tant qu'il n'y a pas de malheur. »

Vulnérables

Selon Éric Parent, qui est également enseignant à l'École Polytechnique de l'Université de Montréal, toutes les organisations branchées à internet sont vulnérables. «Tous les systèmes ont des failles. Il n'y a pas assez de spécialistes et les gens ne sont pas assez soucieux [en matière de] sécurité.»

En guise d'exemple, il a expliqué que des pirates pourraient s'attaquer à des centrales nucléaires gérées à distance. «Quel épais a mis des centrales nucléaires sur internet?» a-t-il lancé.

«Un pirate pourrait savoir quel type de coupe-feu est installé sur le système, commander la même version et l'analyser ligne par ligne pour trouver la faille, a-t-il ajouté. Une fois qu'il a trouvé la faille, il peut entrer dans le système et on ne le détectera pas.»

Aussi, une des grandes faiblesses des organisations et des individus, ce sont les mots de passe. «Les mots de passe, c'est le nerf de la guerre, mais 40 % ne valent pas grand-chose, a affirmé Éric Parent. L'autre problème, c'est que les gens utilisent les mêmes sur plus qu'un système.»

Comment composer un bon mot de passe? Éric Parent suggère au moins dix caractères. « Il ne faut pas prendre les mots du dictionnaire, a-t-il conseillé. Le mieux, c'est de s'inventer une phrase facile à retenir et d'utiliser la première lettre de chaque mot. On ajoute ensuite un chiffre et un caractère comme un point d'exclamation. »

Ébranler la planète

Actuellement, il serait possible, avec beaucoup de ressources et de mauvaises intentions de planifier des attaques informatiques qui feraient très mal à l'économie mondiale. « Pour ébranler l'économie, il faut déterminer l'ordre des gestes à poser pour maximiser l'impact. Par exemple, on pourrait cibler une bourse puis le réseau Swift d'échanges interbancaires », a mentionné le spécialiste.

Pour illustrer à quel point nous sommes maintenant dépendants de l'informatique et de la fragilité du système, il a rappelé la cyberattaque contre l'Estonie en 2007.

À l'époque, le déplacement d'une statue de soldat russe a irrité des militants prosoviétiques qui ont réussi à paralyser le système bancaire, les sites des médias et du gouvernement de cette république d'Europe du Nord. «Ce pays est très avancé, a raconté Éric Parent. Les gens là-bas payent tout avec leurs cellulaires. Durant l'attaque, ils ne pouvaient même plus payer un lunch ou un taxi.»

Pour prévenir les attaques des pirates, il ne faut pas se munir d'équipement en particulier. « C'est impossible d'être à 100 % sécuritaire », a précisé l'expert. La stratégie, selon lui, c'est de bien connaître l'entreprise et d'investir pour protéger les données aux endroits stratégiques, conséquemment avec le risque.

« On va déterminer s'il faut optimiser ça à cause de ça parce que ça va coûter tant si ça arrive, a-t-il expliqué. Actuellement, les entreprises assument des risques dont elles ne connaissent pas l'ampleur. »

Les habitudes d'Anonymous

Le collectif Anonymous est un regroupement décentralisé. Il s'agit de quelques têtes dirigeantes qui proposent des actions via les réseaux sociaux qui sont ensuite exécutées par des internautes, dont des pirates. «Par exemple, ils vont envoyer un message sur Twitter : "Visa, demain, midi". Tous ceux qui ont le temps vont taper le site internet de Visa le lendemain à midi», a indiqué Éric Parent.

Inonder un site de demandes pour le rendre inaccessible (c'est ça qui a été fait au ministère de l'Éducation), tout tenter pour s'introduire dans un site et dévoiler des informations et, enfin, s'incruster pour récolter de l'information sur les routines d'une organisation, comme le changement des mots de passe, constituent les trois modes d'attaque d'Anonymous, selon M. Parent.