L’interview de Max Klaus

«La question n’est plus de savoir si, mais quand vous serez hacké»

Max Klaus, directeur adjoint de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information Melani

Max Klaus, directeur adjoint de la Centrale fédérale d’enregistrement et d’analyse pour la sûreté de l’information Melani

«La question aujourd’hui n’est plus de savoir si, mais quand vous serez victime de pirates informatiques»

Fondée en 2004, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information Melani est le bras armé du Conseil fédéral pour la protection des infrastructures vitales du pays. Son mandat: éviter que des vers ou des virus ne provoquent des pertes de données ou une interruption de services. Les coûts annuels liés à la cybercriminalité dans le monde sont évalués à 400 milliards de francs. En Suisse, 25% des entreprises feraient faillite en cas de panne informatique générale. Pour une banque, le dépôt de bilan interviendrait déjà après deux jours d’arrêt d’activité. Et tout au plus après trois jours pour une entreprise commerciale. Entretien avec Max Klaus, directeur adjoint de Melani.

Le Temps: Avez-vous déjà été personnellement victime de pirates informatiques?

Max Klaus: Non. J’ai pourtant un usage modérément prudent d’Internet. Mais je ne me fais aucune illusion. Avec l’essor du Web, la question aujourd’hui n’est plus de savoir si vous allez être attaqué, mais quand cela va vous arriver.

– Avec quel budget fonctionnez-vous et combien de personnes travaillent pour Melani?

– Pour des raisons de sécurité, nous ne communiquons pas ces informations. Mais nous n’avons jamais eu à nous plaindre d’un manque de ressources financières et nos effectifs ont presque doublé en dix ans. Toutefois, nous sommes loin des 300 experts de l’administration allemande de sécurité informatique [BSI].

– Qu’est-ce qui a changé en Suisse ces cinq dernières années en matière de hacking?

– Les méthodes se sont considérablement professionnalisées. Auparavant, les courriels malveillants étaient truffés de fautes d’orthographe. Aujourd’hui, ils sont parfaitement rédigés et souvent personnalisés, soit adressés avec le nom et le prénom de la victime. Les abuseurs usurpent aussi davantage l’identité des expéditeurs, faisant croire que le message provient d’une connaissance. La sophistication de ces attaques dites d’ingénierie sociale est aujourd’hui le problème le plus sérieux auquel nous devons faire face. Par exemple, des parlementaires suisses se sont dernièrement fait voler leurs contacts téléphoniques. A qui les hackers ont envoyé, durant les vacances de leurs victimes, des appels à l’aide demandant le versement d’une somme d’argent.

– Cela a-t-il fonctionné?

Oui, comme dans beaucoup de cas.

– Combien d’attaques quotidiennes subit-on en Suisse?

– Nous ne disposons pas de statistiques fiables, car il n’existe pas d’obligation de déclarer les cyber­attaques. Leur coût est par conséquent tout aussi difficile à chiffrer. Ce d’autant plus que le dégât d’image suite à une agression est souvent jugé plus important que les pertes matérielles occasionnées. Mais les cellules de crise mises en place par les entreprises réagissent généralement assez vite, en moyenne moins de 24 heures après les faits.

– Sommes-nous plus à risque d’être victimes de cybercriminels?

– Non, même si certains facteurs peuvent le laisser croire. Nous ne sommes par exemple pas plus espionnés que d’autres pays. En revanche, la renommée de notre place financière explique peut-être le nombre élevé d’attaques au e-banking que nous enregistrons. Le territoire helvétique abrite aussi un grand nombre de PME très innovantes. Ce sont a priori des cibles de choix. Nous avons d’ailleurs observé des attaques très spécialisées contre une entreprise en particulier. Mais là encore, il n’y a pas de singularité helvétique.

– De quelle partie du globe vient aujourd’hui le plus grand danger?

– S’il est possible de localiser l’ordinateur duquel parviennent les attaques, cette information est souvent vaine. Les pirates louent la plupart du temps leurs infrastructures dans des pays tiers.

– La Suisse abrite-t-elle de tels dispositifs?

– Oui. Nous avons décelé l’année passée sur notre territoire un nombre important de serveurs de commande et de contrôle destinés à piloter à distance, et à grande échelle, des ordinateurs infectés. Les criminels basés à l’étranger utilisent le cyberespace suisse car nous disposons d’excellentes infrastructures raccordées à Internet et un système de protection des données performant.

– Certains milieux ou internautes estiment que Melani a une approche trop amateur de la sécurité informatique. Que répondez-vous à ces critiques?

– Chacun est libre de penser ce qu’il veut. Mais ces reproches sont peut-être liés au fait que nous menons nos activités dans le plus grand secret.

– Avez-vous parfois l’impression d’être dépassés ou surpris par l’ampleur du phénomène?

– Il nous arrive parfois d’être surpris par l’ingéniosité et le culot de certains pirates. C’est comme dans la lutte contre le dopage. Nos adversaires ont souvent un temps d’avance sur nous. Mais grâce à notre réseau international, nous avons jusqu’à présent pu garder un certain contrôle.

– Quelle est la plus importante crise que vous avez eu à gérer? Les hacktivistes s’en sont beaucoup pris à la Suisse au lendemain du vote sur les minarets.

– Cet épisode n’était pas une crise à proprement parler. Les attaques avaient pour but de délivrer un message, non pas de voler des données ou d’endommager des infrastructures. En revanche, «Heartbleed» a très sérieusement marqué les esprits en 2014. Environ deux tiers des utilisateurs internet dans le monde ont été affectés par cette vulnérabilité logicielle.

– Le dernier rapport de Kaspersky parle d’un milliard de dollars volés à 100 banques, dont certaines en Suisse. Qu’en pensez-vous?

– Il faut être très prudent avec ce genre d’annonce. Nous avons vérifié et aucune banque helvétique n’a été affectée. Nos partenaires internationaux parviennent au même constat concernant leurs enseignes. Par ailleurs, le détournement de bancomats décrit dans cette étude semble très peu probable d’après différents experts mondiaux.

– Pouvez-vous énumérer les techniques les plus courantes utilisées par les pirates?

– Cela varie en fonction du motif des attaquants. Il y a les cas classiques de courriels avec des liens malveillants ou de clés USB contenant des virus. Mais aussi des agressions ciblées contre une entreprise ou le gouvernement, dont le point commun d’être de mieux en mieux élaborées. Tout comme certaines autres astuces visant à infecter un plus grand nombre d’utilisateur, comme le drive-by infection, non repérable par les antivirus traditionnels. Les hackers créent un site internet dans le but d’infecter chaque ordinateur qui y navigue. Pour ce faire, ils exploitent l’actualité, comme la Coupe du monde de football ou encore le crash de l’avion de Malaysia Airlines, en prétendant par exemple qu’à travers tel ou tel lien on peut obtenir des images de l’avion retrouvé.

– Comment lutter contre ce fléau?

– Hormis la sensibilisation, une solution pour les entreprises serait de limiter l’accès au Web pour leurs employés. Avec le risque de ralentir le processus de production si les restrictions envisagées sont trop importantes.

– Savez-vous qui vous affrontez, leur profil (âge, origine, etc.)?

– Il nous arrive parfois de démasquer des pirates. Mais leur identité n’est pas notre priorité. La lutte contre les cybercriminels ne fait pas partie du mandat que nous a confié le Conseil fédéral. Nos efforts se concentrent plutôt sur les techniques des assaillants. Car c’est à travers l’étude de leurs virus qu’il est possible de dégager des contre-mesures.

– C’est-à-dire?

– Pour éviter de donner des idées aux hackers, je préfère ne livrer aucun détail sur la manière dont nous procédons.

– Comment doit-on se protéger aujourd’hui, en tant qu’individu?

– La première règle est de toujours actualiser ses logiciels et de mettre à jour son antivirus. Dans l’idéal, il faudrait aussi activer un pare-feu. Ensuite, tout est question de bon sens: ne pas cliquer sur n’importe quel document ou lien, utiliser des mots de passe robustes, combinant nombres, lettres, caractères spéciaux et symboles, et ne jamais employer le même mot de passe pour les différents outils.

– Est-ce différent pour une entreprise?

– Oui, une personne morale doit aussi se poser la question de comment protéger, traiter, faire circuler – éventuellement crypter – ses données et autres informations confidentielles.

– A-t-on plus de risque de se faire pirater avec un ordinateur, une tablette ou un smartphone?

– Il n’y a pas de grandes différences. Quand bien même les ordinateurs sont souvent mieux protégés que les autres supports. A titre personnel, je n’effectue jamais aucun virement bancaire avec ma tablette ou mon smartphone.

– L’usage qui est actuellement fait du cloud vous inspire-t-il?

– L’idée d’une absence d’infrastructures pour sauvegarder ses données est excellente. Le problème est que l’on ignore souvent comment ce genre de service est organisé ou protégé. Un cloud ne devrait jamais être utilisé pour des données critiques. J’ai personnellement désactivé cette fonction sur mon smartphone. Garder le contrôle sur mes données à tout instant me paraît indispensable, quitte à renoncer à un certain confort technologique.

Publicité