La guerre de l'information financière
| Le dossier Banques et guerre de l'information financière |
| Les articles de Kitetoa sur le sujet |
| Quelques liens utiles |
Il n’y a dans ce document, ni volonté de dramatisation, ni volonté de banalisation des activités des pirates informatiques. Simplement le souhait de partager avec vous une expérience. Dans tous les sens du terme. Je rencontre chaque jour des pirates, des hackers et des spécialistes de la sécurité informatique , qui sont sans doute capables de rentrer sur votre réseau. Il m’a semblé utile de vous transmettre cette " cyber-tranche de vie ".
Je souhaite par ailleurs apporter une touche finale a l’occasion de cet exposé puisque l’occasion m’est offerte de m’exprimer sur ces sujets.
Le thème du piratage informatique est porteur. Internet et la fantasmagorie qui entoure ce réseau aidant, les journalistes écrivent article sur article, dossier sur dossier en ne prenant pas la peine d’interroger les principaux intéressés. Les pirates, hackers et autres virtuoses de l’informatique. Pour la simple et bonne raison qu’ils ne sauraient pas les trouver (hors de France) et que, à défaut, ceux-ci ne leur parleraient pas. Ceci mène à des contresens, des inexactitudes et des approximations.
A titre d’exemple, la presse continue de s’inquiéter du " piratage " des numéros de cartes bancaires au travers d’Internet. On nous jette en pâture - dans le désordre - que la police traque les utilisateurs et ceux qui diffusent les numéros de carte ou les générateurs de numéros, que le GIE CB a pris contact avec le SCSSI pour lutter contre la prolifération de sites qui diffusent les numéros de cartes, qu’une solution de paiement sécurisé au moyen de la carte à puce sera opérationnelle au printemps… toutes sortes de choses qui n’ont aucun sens. A titre d’exemple, la police française ou américaine n’est pas compétente pour aller " traquer " le responsable d’un site en Slovaquie (comme l’évoque l’article du Monde), le SCSSI n’a rien à voir avec la chasse aux sites illégaux en territoire étranger. Pour finir, la solution de sécurisation des paiements via carte à puce ne sera pas déployée au printemps prochain…
Lorsque la relation des faits sont approximatifs, la description des acteurs l’est tout autant. Ainsi, les hackers sont généralement assimilés à des pirates, quand ce n’est pas, tout simplement le cas des équipes de sécurité.
Mon impression est que l’on se trouve face à deux types d’individus.
Les pirates qui ont des intentions plutôt désagréables et qui vendront leur savoir-faire au plus offrant.
Les hackers, qui sont des virtuoses de l’informatique, curieux et généralement socialement actifs (ce qui peut amener les modifications de pages d’accueil). Les équipes de sécurité qui, pour les besoins de leur métier, sont en permanence en liaison avec le monde underground du réseau… A la frontière. Mais du bon côté de cette frontière...
Si les premiers devaient visiter votre réseau, vous ne seriez pas très heureux, et sans doute pas loin de ce que j’ai décrit dans ce document.
Si les seconds devaient visiter votre réseau, votre administrateur réseau devrait sans doute les remercier d’avoir signalé ce trou de sécurité…
Pour finir, je vous propose ces quelques lignes tirée du rapport de la Commission présidentielle de protection des infrastructures essentielles (PCCIP) américaine intitullé " CRITICAL FOUNDATIONS - PROTECTING AMERICA’S INFRASTRUCTURES ".
" The Commission has not discovered an immediate threat sufficient to warrant a fear of imminent national crisis. However, we are convinced that our vulnerabilities are increasing steadily, that the means to exploit those weaknesses are readily available and that the costs associated with an effective attack continue to drop. What is more, the investments required to improve the situation — now still relatively modest — will rise if we procrastinate. We should attend to our critical foundations before we are confronted with a crisis, not after.
Waiting for disaster would prove as expensive as it would be irresponsible. "