BBCAfrique.com
  • Aide
  • Version texte
Page d'accueil
Nos Dossiers
Académie de journalisme
Forum
Météo
---------------
RADIO
Emissions
Fréquences
---------------
SERVICES
Notre équipe
Pour nous joindre
RSS
Qu'est-ce qu'un flux RSS?
---------------
LANGUES
Haoussa
Arabe
Grands Lacs
Afrique lusophone
Somali
Swahili
l'anglais
 
Dernière mise à jour: 06 Octobre, 2006 - Heure de publication 16:40 GMT
 
Envoyez le texte à un ami Version imprimable
Internet : Vulnérabilité des systèmes modernes
 
Jonathan Kent et Xavier Kreiss
BBC World Service
 
 
Les systèmes deviennent plus compexes. Les dangers aussi.
Les télécommunications, notamment par Internet, se développent sans cesse. Hélas, c'est aussi le cas pour les multiples méthodes de piratage (ou "hacking"). Les usagers sont souvent très vulnérables aux attaques de criminels qui cherchent à leur extorquer de l'argent, ou simplement à prendre le contrôle de leurs ordinateurs à leur insu.

Ce sont ces dangers qui faisaient l'objet d'une récente conférence à Kuala Lumpur, en Malaisie. Le correspondant de la BBC dans le pays, Jonathan Kent, est allé à la rencontre des participants.

Les conférenciers et leur public étaient, en majorité, des "hackers" eux-mêmes.

Mais contrairement aux pirates malveillants, dits "pirates en chapeaux noirs", la plupart des participants étaient des passionnés d'informatique qui mettent leurs talents au service d'entreprises qui les emploient pour chercher - et corriger - des failles de sécurité dans leurs systèmes.

Les conférenciers ont notamment pu entendre des exposés sur les vulnérabilités de Vista, le nouveau système d'exploitation de Microsoft, qui doit sortir au début de l'année prochaine.

Egalement à l'ordre du jour : les attaques dites "blue pill" (pilule bleue), grâce auxquelles des pirates peuvent créer un ordinateur "virtuel" à l'intérieur même d'un autre, à l'insu de son propriétaire.

Les conférenciers ont évoqué les moyens technologiques par lesquels les malfaiteurs arrivent à suivre chaque manoeuvre, chaque lettre tapée par un usager - ou même chaque parole qu'il prononce.

La liste des sujets ne s'arrête pas là, et certains étaient d'une complexité telle que seuls des techniciens avertis pouvaient vraiment suivre les débats! Mais un thème simple revenait sans cesse : la vulnérabilité des systèmes de communication modernes.

Phishing

Image du site d'une banque en ligne
Des emails fraduleux prétendant venir de banques
Le terme "phishing", ou hameçonnage, est entré dans le vocabulaire. Il désigne la façon dont des individus malhonnêtes tente d'accéder aux comptes en banque de tiers, ou d'obtenir des renseignements confidentiels sur eux, en leur envoyant des messages email frauduleux, ou en les dirigeant vers des sites web "bidon".

La plupart des usagers d'Internet ont déjà reçu plus d'une fois des emails prétendant venir de leurs banques leur demandant de fournir certaines données (mots de passe, etc.) ou de cliquer sur un lien, ou une pièce jointe, pour permettre à la "banque" de mettre à jour ses dispositifs de sécurité.

En fait, ces messages contiennent souvent des "Troyens" ou chevaux de Troie, des logiciels conçus pour recueillir des données confidentielles.

Autres victimes potentielles : les téléphones portables. Certains affirment qu'ils sont moins vulnérables. Mais si un de ces appareils, appartenant à un particulier ou à une entreprise, se sert de la téléphonie Internet (ou téléphonie sur IP, ou encore VoIP), il représente une cible tentante.

Les "hackers" spécialistes de la sécurité dans le domaine des télécommunications sont pessimistes.

L'un d'eux a choisi un pseudonyme, "The Grugq", pour préserver son anonymat dans ses activités. Selon lui, le "VoIP" va rendre les communications téléphoniques aussi sécurisées qu'Internet" : une façon de dire qu'elles seront dangereusement exposées aux attaques de toutes sortes.

Centres d'appels vulnérables

"The Grugq" est pessimiste
"The Grugq" estime que "dans les mois à venir, nous allons voir un pirate attaquer un centre d'appels téléphoniques. C'est déjà faisable techniquement".

Il décrit un scénario possible, dans lequel "le client ne ferait aucune erreur", respecterait les règles de prudence, composerait le vrai numéro, le numéro légitime de sa banque, qui le mettrait en rapport avec un centre d'appels aux Etats Unis, ou en Grande-Bretagne, ou en Inde par exemple. Et l'appel serait intercepté et détourné.

"The Grugq" est formel : "un attaquant pourrait ainsi se frayer un chemin jusqu'au cœur du centre d'appels. Il pourrait ensuite créer un logiciel serveur qui lui permettrait de suivre toutes les communications du centre.

Un client pourrait ensuite appeler ; il entendrait de la musique et un message du centre qui lui demande de patienter. Pendant ce temps, le pirate pourrait par exemple insérer un message audio du genre "pour mieux vous servir, nous vous demandons de communiquer votre numéro de compte et votre numéro personnel d'identification."

"Si par malheur vous faisiez ce que le message vous demande, vous livreriez vos numéros confidentiels à un criminel, qui chercherait ensuite à vider votre compte bancaire".

Un centre d'appel téléphonique
Les centres d'appels pourraient bientôt être attaqués.
Quant aux entreprises qui cherchent à économiser de l'argent en utilisant la téléphonie par Internet (VoIP), "The Grugq" avertit : "elles ont intérêt à s'assurer que tous les utilisateurs d'un système de ce genre sont protégés correctement. Autrement, c'est le système dans son ensemble qui s'écroule, comme un château de cartes".

Triple Play

Et si, comme on le prévoit, l'utilisation d'Internet et de la téléphonie mobile VoIP monte en flèche avec la prochaine génération de téléphones portables (3.5 / 4G), les experts affirment déjà que la technologie IPv6 (Internet protocol version 6), qui régira leur fonctionnement, sera tout aussi vulnérable aux attaques du genre de celles que décrit "The Grugq".

Van Hauser est membre de Hacker's choice, un groupe international d'experts en matière de sécurité des réseaux et systèmes. Selon lui, "notre protocole Internet actuel présente certaines vulnérabilités, et on retrouvera les mêmes avec IP version 6" .

"Si on s'y prend correctement, et si on les administre correctement, on peut sécuriser les réseaux et les systèmes", ajoute-t-il ; "ce ne sera pas simple, mais au moins il y a une chance d'y parvenir, il y a un espoir".

Triple Play est un terme qui désigne un ensemble intégré de services :
téléphonie par IP, accès à Internet, et transmission d'images par flux vidéo. Yen-Ming Chen, employé par l'entreprise de sécurité informatique McAfee, avertit que ce "paquet" de services sera tout aussi vulnérable.

"Nous voyons déjà des failles de sécurité dans diverses composantes de l'ensemble", affirme-t-il. "Nous les classons par catégories : réseaux de particuliers, réseaux de fournisseurs et d'administrateurs, et source des contenus".

Yen-Ming Chen explique : "en pratique, cela veut dire que des pirates motivés par des considérations politiques par exemple n'auront pas besoin de donner l'assaut à la station de télévision locale. Ils pourront en prendre le contrôle sans sortir de leurs domiciles".

En pareil cas, selon Yen-Ming Chen, les attaquants chercheraient à contrôler le boîtier fourni avec les services Triple Play, ou tout simplement les ordinateurs des utilisateurs. Après cela, ils pourraient diffuser n'importe lequel message.

Mais l'éventualité la plus intrigante, peut-être, est de voir des pirates prendre le contrôle de ... satellites.

Chaîne de destruction

Satellite de télécommunications
Attaquer un satellite serait difficile, mais possible...
Jim Geovedi est consultant pécialisé dans les questions de sécurité, employé par Bellua Asia Pacific. Il détient des secrets que de nombreux pirates donneraient beaucoup pour acquérir.

Il avertit : "la théorie est que si quelqu'un arrive à contrôler un satellite, il peut ensuite passer au satellite voisin, et créer une chaîne de destruction, parce que tout est disposé autour de l'équateur. Si tout est saboté, on n'a plus de communications, de flux de données, ou de télévision".

Théoriquement possible, donc. Mais dans la pratique? Jim Geovedi est
rassurant : "attaquer de la sorte un satellite n'est pas aussi aisé qu'attaquer des jouets pour enfants. C'est très difficile, parce que chaque fabriquant a sa propre technologie, et il faut les maîtriser toutes".

Mais il avertit : "pirater, attaquer un satellite en orbite depuis plus de dix ans est une affaire relativement simple pour certains spécialistes, s'ils ont le matériel adéquat".

Imprudence

Les entreprises risquent de perdre gros

Dans ces conditions, les entreprises ont tout intérêt à prendre des mesures pour se protéger. Mais selon Van Hauser, "les compagnies de télécommunications et un bon nombre d'autres entreprises ne font que ce qui est absolument nécessaire, le strict minimum. Et elles espèrent que le reste de leurs systèmes ne va pas s'écrouler".

"The Grugq" est du même avis. Pour lui, "c'est seulement quand les banques commenceront vraiment à perdre de l'argent en raison de ces piratages qu'elles seront suffisamment motivées pour mettre au point des moyens de résoudre le problème".

 
 
LIENS EXTERIEURS
Le piratage informatique
Triple Play
La BBC decline toute responsabilité pour le contenu de sites extérieurs
A VOIR AUSSI
Après la mort de Bongo, le palmarès des "doyens"
Les mines du Congo : entre rebelles et multinationales
Ida, un lémurien de 47 millions d'années
Tchad : Le charbon de bois interdit
 
 
Envoyez le texte à un ami Version imprimable
 
  Notre équipe|Fréquences
 
BBC Copyright Logo
 
 ^^ Retour en haut de page
  Page d'accueil | Nos Dossiers | Forum | Météo
 
  BBC News >> | BBC Sport >> | BBC Weather >> | BBC World Service >> | BBC Languages >>
 
  Aide | Protection de vos données personnelles| Pour nous joindre