Piratage informatique

Affaire Giroud: l'avis d'un expert en sécurité

| Mise à jour
par helenel

Dominique Giroud, encaveur valaisan, est désormais soupçonné de piratage informatique. La rédaction d'ICTjournal a interrogé un spécialiste de la sécurité informatique pour en savoir plus sur ce type d'attaques.

Patrick Zwahlen, architecte sécurité et responsable d'équipe chez Navixia. (Quelle: Lix)
Patrick Zwahlen, architecte sécurité et responsable d'équipe chez Navixia. (Quelle: Lix)

Le Ministère public genevois a annoncé l'arrestation mercredi de Dominique Giroud, d'un hacker professionnel, d'un détective privé et d'un quatrième suspect. L'encaveur valaisan est soupçonné d'avoir avec un détective privé et un agent du service de renseignements de la Confédération (SRC), mandaté un hacker professionnel, pour pirater les ordinateurs d'au moins deux journalistes de la RTS et du Temps, qui avaient déposé plainte alors que l'enquête était déjà en cours. L'objectif était d'identifier les sources des fuites à propos des procédures en cours dans les médias. Pour les besoins de l'instruction, Dominique Giroud, le détective privé et le hacker ont été placé aujourd'hui en détention provisoire jusqu'au 14 juillet prochain. L'agent du SRC y restera lui jusqu'au 31 juillet. 

Un appel mystérieux

Selon la RTS, le 4 mars dernier, un journaliste de la RTS reçoit un coup de téléphone d'une personne qui s'est fait passé pour un confrère du journal Le Parisien et qui l'incite à ouvrir une pièce jointe sur son ordinateur. La pièce jointe contenait un virus destiné à faire une archive du contenu de la machine pour la déposer sur un serveur à Zurich. La rédaction d'ICTjournal a demandé son avis sur cette attaque à Patrick Zwahlen, architecte sécurité et responsable d'équipe chez Navixia.

De votre point de vue, ce type d'attaques informatiques est-il complexe?

Non pas du tout. C'est plutôt facile de convaincre une personne d'installer quelque chose sur son ordinateur ou même de lui faire simplement ouvrir une pièce jointe. Il suffit simplement de construire une histoire crédible. Nous rencontrons souvent le cas de comptables qui reçoivent un coup de téléphone d'une personne qui dit avoir une facture impayée. L'interlocuteur propose d'envoyer la copie de cette facture par fax, qui est le plus souvent illisible. Cette personne rappelle une deuxième fois et comme le fax est illisible, elle proposer d'envoyer la facture directement par mail en fichier joint. Dans ce cas, le comptable ouvre la pièce jointe et le virus est installé?

Est-ce facilement détectable?

Malheureusement non. Il est plus facile de détecter ce qu'on appelle des «Advanced persistent threat» - je n'aime pas ce terme – ou des attaques qui fonctionnent, car beaucoup de machines sont infectées. Mais dans ce cas, quand il y a seulement une ou deux machines compromises et qu'elles génèrent peu de trafic vers l'extérieur, vers un serveur qui a probablement été mis en place uniquement à cet effet, c'est assez difficile à détecter. 

Existe-il des solutions techniques pour bloquer ce genre d'attaques?

Il n'existe pas de solutions techniques ou automatiques. Il faut le faire manuellement. En se plongeant dans l'historique des événements des ordinateurs, nous trouvons quasiment toujours des machines compromises. Il faut être capable de détecter des comportements anormaux d'une machine. Ce n'est pas seulement le travail de l'administrateur informatique. C'est aussi à l'utilisateur de voir que quelque chose est différent sur son poste: qu'il est plus lent ou que certaines choses bizarres se passent. Il doit surtout remonter l'information à son service informatique. C'est souvent un problème d'oser dire, surtout quand vous avez cliqué sur quelque chose que vous n'auriez pas dû.

Les attaques informatiques très ciblées sont-elles courantes?

Je n'en ai quasiment jamais rencontré. Par contre, il y a beaucoup de cas où les attaques paraissent ciblées mais en remontant les serveurs utilisés, nous nous rendons compte qu'il s'agit plutôt de grandes campagnes de piratage.

Kommentare

« Plus