Internet : Premier avertissement sans frais

Publié le

Dossier En quelques heures, le vandalisme informatique a paralysé les plus grands sites. Ce raid spectaculaire compromet-il la " Net économie " ? Non, en se souciant plus que jamais de sa sécurité, le commerce électronique entre de plain-pied dans la maturité.

Internet : Premier avertissement sans frais

Sommaire du dossier

Ecran noir. Les utilisateurs américains de Yahoo!, Buy.com, eTrade ou eBay n'ont pu accéder à leurs sites préférés pendant quelques heures, la semaine passée. Victimes d'une attaque menée par un groupe de pirates, ces sites ont été forcés de fermer boutique. Angoisse... Et si Internet s'effondrait ? Qu'adviendrait-il des millions d'internautes qui s'échangent des courriers électroniques, font leurs courses en ligne, paient leurs factures, gèrent leur portefeuille d'actions sur le Web... ? La Net économie est aujourd'hui si ancrée dans la vie quotidienne des utilisateurs que l'affaire des " hackers " a fait trembler jusqu'au président américain. Bill Clinton a mobilisé tout son gouvernement, demandé des rallonges de crédit pour sécuriser les réseaux administratifs et donner les moyens au FBI de mener l'enquête. S'entourant des meilleurs experts en la matière, il veut s'assurer que la Net économie va continuer de doper la croissance et de créer des emplois. La faille de l'architecture distribuée Le diagnostic n'est guère rassurant. " Internet est victime de sa propre structure de réseaux distribués ", déclarait à chaud Vinton Cerf à " L'Usine Nouvelle ". Aujourd'hui vice-président senior en charge de l'infrastructure et de la technologie Internet chez MCI Worldcom, il fut l'un des pères fondateurs de l'Internet lorsque celui-ci n'était qu'un projet scientifique financé par les militaires. Et, comme le souligne ce professionnel, c'est précisément l'architecture distribuée d'Internet qu'ont utilisée les pirates pour attaquer les sites commerciaux. Pas de doute, la technologie rattrape le commerce électronique, la publicité en ligne et autres nouveaux modes de communication ! Une technologie encore fragile et moins subtile que les modèles économiques des nouveaux entrepreneurs. Les tuyaux du Net ne sont pas encore parfaitement étanches ! L'alerte a été chaude. Les victimes des dernières attaques sont les symboles mêmes du nouveau système : Yahoo! et ses 120 millions d'utilisateurs chaque mois ; eBay et ses 8 millions de clients ; eTrade, le courtier en ligne ; Buy.com, le supermarché virtuel... Sur le moment, les analystes boursiers et les investisseurs sont restés calmes. Mais, dès le lendemain de l'attaque, les valeurs technologiques cotées à New York - à l'exception, bien sûr, des valeurs de sécurité, qui, elles, se sont envolées - perdaient des points. Certes, rien de mortel. Yahoo! n'aurait virtuellement perdu " que 500 000 dollars ". " Il ne nous a fallu que trois heures pour reprendre la main, explique Philippe Guillanton, directeur général de Yahoo! France. Cela ne représente rien en termes de pertes : les bandeaux publicitaires non vus ont été reprogrammés. Et, un lundi matin, le trafic est quand même plus calme que le vendredi soir. " Toutefois, les sites moins costauds prennent l'alerte au sérieux. " Attaquer un grand site comme eBay, c'est comme s'en prendre à une Banque centrale ! Ils ont les moyens de lutter ! Attaquer iBazar, malgré son succès, cela revient à s'en prendre aux trois personnes du service technique ! ", s'inquiète Henri Moissiniac, directeur technique et du commerce électronique du site d'enchères en ligne. La fragilité du système parfois oubliée Mais, surtout, il ne faut pas sous-estimer les conséquences des attaques sur la confiance des acheteurs en ligne. Selon la société d'études Yankee Group, elles pourraient amputer la croissance du commerce électronique de plus de 1,2 milliard de dollars cette année. Jusqu'alors, les consommateurs, pris dans le tourbillon de la nouveauté, des offres alléchantes, des prix plus bas proposés par les sites Web, en avaient parfois oublié la fragilité du système. Et maintenant ? " Sous le coup d'une attaque pareille, nous perdrions jusqu'à 150 000 francs, soit notre chiffre d'affaires quotidien ! Mais il faudrait reconstruire une relation de confiance avec nos clients ", estime Patrick Jacquemin, P-DG de rueducommerce.fr (vente de matériel informatique en ligne). Inquiétude légitime. Le premier frein à l'achat en ligne n'est-il pas le manque de confiance des consommateurs envers la sécurité des paiements ? La dernière attaque remet les choses en place. La sécurité doit rester une préoccupation de tous les instants. La liste des intrusions, qui fait les délices des sites Web dédiés aux " hackers ", est longue. En 1997, IBM aurait été l'une des premières victimes d'une attaque de type " DDOS " à l'ouverture de sa galerie commerciale européenne. Plus récemment, et plus près de nous, un pirate s'est introduit sur le serveur de rueducommerce.fr la semaine de son ouverture. Il a modifié le prix d'un produit avant de se le faire livrer chez lui ! " Un directeur de la sécurité qui nie avoir été attaqué ment. Nous avons déjà été contactés par des "hackers" qui avaient décelé une faille dans notre système. Nous les prenons au sérieux ! ", affirme Henri Moissiniac, chez iBazar.fr. Bien sûr, les Pouvoirs publics ne restent pas l'arme au pied. Les meilleurs " cyberpoliciers " américains sont sur les traces du ou des responsables des attaques, cherchant à savoir quels serveurs ont servi de relais (voir schéma page 25). Et ils ont débusqué les premiers indices : après une semaine, l'université californienne de Santa Barbara a avoué qu'un ordinateur connecté à Internet 2, ce nouveau réseau à très haut débit réservé aux chercheurs, avait été utilisé par un intrus. Deux hackers sont déjà soupçonnés. Tous les acteurs sont concernés " Le FBI semble penser que les auteurs du blocage sont restés sur le réseau américain. Cela permettrait de suivre leurs traces, s'ils en ont laissé ", explique Marcel Vigouraux, directeur de la Brigade centrale de répression de la criminalité informatique, une division de la Police nationale. Seulement voilà, comme l'explique ce spécialiste, dès que des serveurs étrangers sont utilisés, notamment dans des pays qui ne reconnaissent pas le crime informatique, les investigations sont bloquées ! " Si, dans la chaîne, un seul serveur utilisé ne sauvegarde pas les traces de connexion, il n'y a aucun moyen de retrouver un pirate ! Dans ce cas, celui-ci n'a même pas besoin de se dissimuler ", s'inquiète Marcel Vigouraux. En fait, pour se prémunir contre de telles attaques et éviter l'utilisation nocive des serveurs les plus puissants, tous les acteurs sont concernés. " L'enjeu ? Ne pas servir de relais ", explique Philippe Rougé, directeur des opérations de Club-Internet. Le " hic ", c'est que, en France, la prise de conscience est lente. " Une étude de 1998, menée par PriceWaterhouse, montrait que 7 % des entreprises avaient une politique de sécurité informatique, contre 42 % aux Etats-Unis ", rappelle Gilbert Brat, président de la commission " systèmes d'information " de l'Amrae (Association pour le management des risques et des assurances de l'entreprise). Est-ce une question de moyens financiers ? " Les investissements ne sont pas énormes, comparés aux frais de marketing, tempère Philippe Rougé. Mais cela demande beaucoup de main-d'oeuvre, et, surtout, de la vigilance ! " Les investisseurs ont pris conscience de l'enjeu. Ils n'hésitent pas à pousser à se protéger les start-up dans lesquelles ils placent leurs fonds. Ceux qui ont financé ruedu commerce.fr ont carrément fait procéder à un audit complet et demandé des corrections techniques. " On ne peut pas envisager de faire un site professionnel sans avoir une infrastructure qui supporte la charge ", insiste Pierre Chappaz, qui vient de lancer le guide d'achat KelKoo, et dont le parcours dans l'industrie informatique n'a pas peu contribué à rassurer les financiers. Internet reste un eldorado pour les entrepreneurs et un formidable moteur de la croissance mondiale. N'en déplaise aux cassandres. Mais, entré dans l'âge de la maturité, le marché du commerce électronique ne peut plus négliger ses faiblesses. Les ventes sur Internet dans le monde, cette année, devraient atteindre 100 milliards de francs. Les consommateurs adhèrent au système. Ils n'en demeurent pas moins vigilants. Marion Bougeard et David Maume, avec Laurance N'Kaoua Sept questions clés pour mieux se protéger 1 - L'attaque était-elle prévisible ? Pour le Cert, organisme américain chargé par le ministère de la Défense des Etats-Unis de veiller à la sécurité d'Internet, l'attaque de type Denial of service (voir glossaire page suivante) dont Yahoo! a été l'objet était tout à fait prévisible. Le Cert avait établi l'année dernière un rapport dans lequel il mettait en garde les exploitants contre ces attaques, en leur exposant le fait que les outils utilisés étaient disponibles sur le Web (logiciels Tribe FloodNet, Tin00 , Stacheldraht, etc.). 2 - Quels sont les serveurs menacés ? Avec leur dernière attaque massive, les pirates ont fait la preuve que personne n'était à l'abri. Certes, ce sont les serveurs des sites le plus en vue, ceux qui comptent parmi les plus fortes audiences d'Internet (Yahoo!, CNN, etc.) et sont dimensionnés pour répondre à des affluences records qui ont été temporairement mis hors service. Mais les serveurs utilisés comme bases d'attaque appartenaient indifféremment à des fournisseurs, à des entreprises ou à des universités. 3 - Quelles parades peut-on mettre en oeuvre ? " La parade la plus efficace consiste à protéger les serveurs réquisitionnés par les pirates comme cibles primaires ", explique François Michelet, consultant senior chez le spécialiste de la sécurité CF6. A ce niveau, les logiciels de contrôle d'activité sont efficaces et faciles à mettre en oeuvre. " Ils protègent, explique-t-il, de l'utilisation intempestive d'un serveur. D'autant que le pirate ne peut pas utiliser des ressources très longtemps. " En ce qui concerne les cibles secondaires - des sites très fréquentés, comme Yahoo! -, la parade suppose des moyens d'une tout autre ampleur. " Il faut mettre en place des logiciels de détection automatique de dépassement de charges, capables d'identifier et de filtrer les requêtes quand le seuil est dépassé ", explique François Michelet. Ces produits réactifs, lourds à mettre en place, doivent être en permanence suivis par des experts. Leur installation est coûteuse et ralentit les performances des services proposés sur le Web. Sacré dilemme, pour leurs fournisseurs !... 4 - Les propriétaires des serveurs qui ont servi de têtes de pont sont-ils complices ? La responsabilité d'une entreprise dont le site aurait, à son insu, servi de base d'attaque pourrait effectivement être engagée. Mais la question est loin d'être tranchée, et fait l'objet d'un vaste débat un peu partout dans le monde. " En France, il est vraisemblable que les serveurs qui n'auraient pas su se protéger risqueraient de tomber sous le coup de la loi Godfrain (répression des fraudes informatiques) ", explique Emmanuel Tachot, expert en sécurité chez F-Secure. Il existe un précédent dans une affaire voisine (sinon strictement comparable) : les hébergeurs de pages Web ont été jugés responsables des contenus qu'ils accueillent sur leurs sites. 5 - Peut-on retrouver les auteurs des attaques ? Plusieurs jours après l'offensive, les experts en sécurité - ceux du FBI, notamment - travaillent d'arrache-pied pour identifier les auteurs des attaques, passibles de peines de prison. Le principe général de leur manoeuvre a été rapidement compris. Mais ils seront néanmoins difficiles à débusquer. Particulièrement organisés, ils ont utilisé des adresses Internet anonymes pour se connecter. 6 - Peut-on s'assurer contre les pirates ? En règle générale, les contrats de responsabilité civile générale excluent les intrusions informatiques. Mais il est possible de prévoir contractuellement des aménagements des polices professionnelles pour les cas de fraude informatique ou d'intrusion. Quelques grandes compagnies s'en sont fait une spécialité. Ainsi, la société de réassurance Lloyd's of London propose depuis début janvier le contrat CyberLiability, qui couvre non seulement contre l'intrusion d'un tiers dans son système, mais aussi contre l'utilisation de données qui auraient été dérobées (numéros de carte bancaire, notamment). 7 - Qui mène les investigations ? Les pirates sont poursuivis dans le monde entier par des brigades spécialisées. Aux Etats-Unis, c'est la police fédérale, le FBI (Federal Bureau of Investigation), qui mène l'enquête. Et, en France, la Brigade centrale de répression de la criminalité informatique (BCRCI). Composée d'une équipe d'officiers de police spécialisés, elle a été créée en 1988, lorsque le délit d'intrusion dans un système informatique, notamment, a été intégré dans le Code pénal français. Si un pirate utilise le réseau mondial, les polices nationales coordonnent leurs efforts. Mais cette coopération internationale a ses limites : le Japon ne s'est doté des armes juridiques nécessaires pour combattre les pirates qu'à l'été de 1999. Quant à la Belgique, elle discute en ce moment même un texte qui permettra d'étendre les investigations sur son territoire. Savez-vous parler le " Hacker " ? " Syn-flood " Pour saturer les serveurs de Yahoo!, CNN et consorts, les pirates les ont bombardés de flots de fausses requêtes de synchronisation, ou " syn-flood ", dans le jargon des experts et des " hackers ". " Ddos attack " " Distributed denial of service attack " ou Ddos attack, signifie littéralement attaque distribuée rendant inopérants les services. En français, on parle de " déni de services ". " Back door " Littéralement, entrée de service. Accès secret mis en place dans un système par des techniciens ou des programmeurs afin d'en faciliter la maintenance. " Hacker " Pirate informatique qui débusque les failles d'un système par défi. " Cracker " Par opposition aux " hackers ", ce type d'intrus s'adonne à des activités de piratage pour le sport. " Netiquette " Code de déontologie et de bonnes manières en vigueur sur l'Internet. " Phreaking " L'art de pirater le réseau téléphonique (notamment pour passer des appels gratuits). " Time Bomb " En français : bombe à retardement. Programme nuisible ou virus programmé pour ne se déclencher qu'à une date préalablement établie. " Cheval de Troie " Programme dangereux caché au sein d'une application utilitaire ou d'un jeu.

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte