La cybersécurité pour les nuls

Cet article a pour vocation de désacraliser la sécurité informatique mais également de désacraliser le pirate sur son petit piédestal vermoulu.

Tout d’abord, j’aimerai apporter un éclaircissement à une confusion fréquente.

Le beau-frère de la demi-sœur d’un de vos clients vous dit :

Je me suis fait hacké mon site, on m’a volé tous les contacts clients et on a remplacé la page d’accueil par un photomontage bizarre…

Et bien le site n’a pas été hacké, il a été piraté !

Il y a une nuance que le beau frère de la demi-sœur de votre client est en droit de ne pas saisir. Mais les journalistes, ceux qui parlent en experts sans en avoir les bases, feraient bien de mettre à jour leur vocabulaire.  Ceci étant dit, certains informaticiens aussi, feraient bien de remettre un peu d’ordre dans leurs idées et leurs connaissance en matière de sécurité.

Une petite mise au point : Les hackers de l’origine avaient un code éthique  définit au MIT (
Massachusetts Institute of Technology ) et dont voici les règles de base:

 ➢ L’accès à tout ce qui pourrait vous apprendre quelque chose sur la
façon dont le monde fonctionne devrait être illimité et total
➢ L’information devrait être libre
➢ Ne faites pas confiance à l’autorité, préférez la décentralisation
➢ Les hackers devraient être jugés sur leurs exploits et non sur des critères comme l’âge, l’origine, le sexe, le diplôme …
➢ On peut créer l’art et la beauté avec un ordinateur
➢ Les ordinateurs peuvent améliorer votre vie

Quand je lis les règles d’éthique des hackers, je ne vois pas quel est le problème.

Il y a pas mal d’années, au siècle dernier, un certain Eric Raymond a publié un petit bouquin intitulé « La cathédrale et le bazar » or Eric est un pionnier de l’open source,  comme Richard Mathiew Stallmann est pionnier du logiciel libre.
Eric donne la définition de ce qu’est un hacker et quelques conseils pour le devenir.

Voir le lien ci-dessous  How to become a hacker :
http://www.catb.org/esr/faqs/hacker-howto.html
Il existe une traduction en français, si vous n’êtes pas à l’aise avec l’anglais vous devrez la trouver en dessous.
Mais justement, si vous n’êtes pas à l’aise avec l’anglais, vous aurez bien du mal à devenir un hacker.  Comme le dit Eric Raymond lui-même.
La voici la traduction en français :
http://www.secuser.com/dossiers/devenir_hacker.htm

Il y a parfois des hackers qui passent du coté obscur. Mais hacker par définition ce n’est pas ça.  Dans le hacking il n’y a pas de jugement de bien ou de mal. Alors que dans le piratage, si !

Être un pirate, c’est mal !
Quelqu’un qui commet un piratage est un pirate.
Un hacker peut être un expert en cybersécurité et être à l’origine de l’amélioration de la sécurité sur Internet. D’ailleurs sans les hackers, Internet n’existerait pas. Donc il est important de bien différencier les deux.

Mais le présent article ne vise pas à déterminer le sexe des anges, quoique comprendre ce prérequis est tout de même intéressant pour la suite du texte.

Le présent article vise a expliquer ce qu’est la cybersécurité pour les nuls.
Il faudrait d’abord définir la cybercriminalité. Dans quoi je m’engage ?

La cybercriminalité, brève définition :


De nombreux ouvrages le font très bien à ma place (La cybercriminalité de Solange GHERNAOUTI-HELIE, aux éditions « Le savoir Suisse » par exemple), mais ami lecteur, tu n’es pas venu me rendre visite pour que je t’envoie promener ailleurs.

Donc la cybercriminalité :
Est une forme de criminalité utilisant les techniques de communication offertes par Internet.
Par extension, la cyberdélinquance est incluse dans cette définition, car si la différence de degré est notable, les moyens utilisées sont à peu près les mêmes.

Est-il nécessaire de donner des exemples de cybercrimes ou d’actes de cyberdélinquance ? 

Voler des mots de passe en piratant des sites pour récupérer leurs bases de données, c’est de la cyberdélinquance. Mais parfois, les bases sont revendues sur des sites cachés dans le deep web et d’autres pirates qui n’ont pas tous des compétences techniques les rachètent et les utilisent en comptant sur la naïveté et le sens de la culpabilité des victimes.

La cybercriminalité, c’est en gros une criminalité qui s’appuie sur les faiblesses d’Internet. Il faudrait faire un peu d’histoire, mais très brièvement, en quelques phrases vous allez comprendre :

Les premières briques d’Internet sont nées dans les années 1960. A cette époque là, ce qui comptait c’était que les ordinateurs puissent communiquer entre eux et que si l’un d’entre eux était totalement pulvérisé par une bombe atomique, les informations pourraient continuer à circuler par un autre circuit entre les machines encore utilisable. (« alive »)
Dans un contexte de guerre froide et de joyeux bricolages, ce qui comptait plus que tout c’était que le signal soit transmis. Le chiffrement des informations ou la sécurisation risquait d’entraver ce fonctionnement et donc on a attendu avant de s’en préoccuper.

Voilà pourquoi une partie des technologies utilisées n’est pas sécurisée de façon native. Pour cette raison on a dû rajouter des couches de sécurité à certains protocoles, comme par exemple le célèbre « https » Hyper Text Transfert Protocole Secured.

Le S de Secured est récent et a dû être créé pour pouvoir chiffrer les échanges. C’est particulièrement nécessaire lorsque vous effectuez une transaction bancaire.

Il faut savoir qu’à cause du manque de sécurité de certains protocoles, il est possible d’usurper une adresse courriel pour envoyer un message et donc de faire croire à un internaute peu informé que sa propre boite a été piraté et que son mot de passe lui a été volé.

Un exemple ci-dessous, j’ai effacé les adresses d’expéditeur et de destinataire, mais elles étaient scrupuleusement identiques :

On peut comprendre l’inquiétude suscitée chez un utilisateur peu au courant du fonctionnement de cette technologie.

La cyberdélinquance, c’est la tentative d’extorsion de fond comme dans le message cité en exemple, c’est l’usurpation d’identité, du vol de mot de passe et toute sorte de petite escroquerie. Cela s’appuie beaucoup sur la méconnaissance complète de l’utilisateur de l’outil informatique et de l’Internet et ces procédés s’appuient surtout sur la naïveté des utilisateurs.

La cybersécurité, tentative de description

La encore, de nombreux ouvrages le font très bien à ma place et je citerai dans la même veine que précédemment  (La cybersécurité de Nicolas ARPAGIAN, aux éditions « P.U.F. » collection « Que-sais-je ?' » par exemple), mais ami lecteur, tu n’es pas resté à lire cet article jusque là pour que je t’envoie promener là-bas.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *