Depuis début septembre, une série de cyberattaques frappe de grandes enseignes et institutions françaises. Ces fuites de données personnelles, très sensibles, exposent les usagers, clients ou utilisateurs concernés, à des tentatives de phishing, de demandes de rançon ou d'usurpation d'identité.
C'est une véritable hémorragie de données personnelles qui secoue l'Hexagone depuis plusieurs semaines. Boulanger, Cultura, Truffaut, la Caisse nationale d'assurance vieillesse... La liste des victimes s'allonge jour après jour, laissant dans son sillage des millions de données personnelles à la merci des cybercriminels. Et ça ne s'arrête pas là.
Le 27 septembre, c'est au tour de Meilleurtaux d'annoncer à ses clients avoir été victime d'une cyberattaque. L'information a, comme souvent, été relayée par le hacker éthique SaxX sur X.com, qui n'est pas rassurant : « J'ai bien peur que ce ne soit fini », craint-il. Une prédiction que semble partager Jean Gebarowski, expert en cybersécurité pendant 15 ans au sein du groupe Société Générale et aujourd'hui dans le secteur des assurances, que Clubic a interrogé sur cette vague de cyberattaques et pour qui « les attaques sont constantes et quasiment continues ».
Des attaques « constantes et quasiment continues »
Cultura, Boulanger, Truffaut, Grosbill, la Cnav... Ces dernières semaines, les cyberattaques se sont enchaînées à un rythme effréné en France. Mais comment expliquer cette soudaine recrudescence ? Selon Jean Gebarowski, il faut d'abord comprendre que les attaques sont en réalité « constantes et quasiment continues ». Ce qui change, ce sont leurs effets, qui varient en fonction de nombreux facteurs.
Il pointe notamment du doigt la possibilité d'un « prestataire informatique externe » commun à plusieurs enseignes, qui aurait été compromis. Cette hypothèse expliquerait la simultanéité des attaques et s'inscrit dans une tendance de plus en plus répandue : les attaques via la chaîne d'approvisionnement ou « supply chain ». En ciblant un maillon faible, les pirates peuvent ainsi toucher plusieurs entreprises d'un coup. C'est d'ailleurs ce que semble avoir dénoncé Cultura dans son communiqué après la fuite des données de ses clients.
Mais au-delà de cette explication technique, c'est tout un écosystème qui s'affaire dans l'ombre pour multiplier ces cyberattaques. Des groupes de hackers de plus en plus organisés, des motivations qui vont au-delà du simple appât du gain, et parfois même des considérations géopolitiques qui entrent en jeu. Certains acteurs agiraient sur ordre d'États, tandis que d'autres profiteraient de leur « temps libre » lorsqu'ils ne sont plus sollicités par leur tutelle étatique, indique l'expert.
Des failles persistantes malgré l'importance des données
Comment expliquer que des entreprises et des organisations qui gèrent des données aussi sensibles puissent encore être vulnérables ? C'est la question que tout le monde se pose. Jean Gebarowski nous rappelle que tout comme le risque : « La sécurité à 100 % n'existe pas ». Pour un attaquant, une seule faille suffit, alors que pour se défendre, il faut être irréprochable sur tous les fronts.
Au-delà de ce constat, l'expert pointe du doigt plusieurs problèmes récurrents. Trop d'entreprises négligent encore la sécurité, faute de savoir identifier et mesurer les véritables enjeux. D'autres pensent qu'il suffit d'avoir de bons outils pour être protégé. Or, insiste-t-il, « la sécurité informatique est une question de processus et non d'outillage ».
Il prend l'exemple d'un pare-feu mal configuré : même le meilleur des équipements ne sert à rien s'il est paramétré pour tout laisser passer. Par exemple, ce fameux réglage « any any » qui ouvre grand la porte aux intrus : d'après le site rackspace technology, « permit ip any any » autorise tout le trafic de n'importe quelle source sur n'importe quel port vers n'importe quelle destination. Il s'agit du pire type de règle de contrôle d'accès. Elle contredit à la fois les concepts de sécurité de refus de trafic par défaut et le principe du moindre privilège. Le port de destination doit toujours être spécifié et l'adresse IP de destination doit être spécifiée lorsque cela est possible.
Autre point crucial : l'évolution constante de l'informatique. Ce qui était sûr hier peut devenir une faille béante demain. Il faut donc sans cesse réévaluer ses besoins, contrôler l'efficacité des outils et des procédures, et s'adapter. Même un système qui n'a pas été modifié peut soudainement devenir vulnérable à cause de l'apparition de nouvelles techniques d'attaque.
Le dark web, zone grise de la cybercriminalité
Quand on parle de cyberattaques, le spectre du dark web n'est jamais loin. Cette partie cachée d'internet, souvent décrite comme une zone de non-droit, cristallise bien des fantasmes. Mais qu'en est-il vraiment ? Jean Gebarowski apporte quelques nuances importantes.
Contrairement à une idée reçue, le Web n'est pas une zone de non-droit à proprement parler. Le problème, c'est que « le temps judiciaire n'est pas le même que le temps informatique ». Les enquêteurs et la justice ont du mal à suivre le rythme effréné des cybercriminels. Ces derniers peuvent se dissimuler en utilisant des moyens illégaux ou se réfugier dans des pays peu coopératifs sur le plan judiciaire.
Le dark web, avec ses techniques de décentralisation et d'anonymisation, complique encore la tâche des autorités. S'y attaquer frontalement est quasiment impossible. La meilleure tactique reste l'infiltration, mais c'est un travail de longue haleine qui demande des ressources et une expertise pointue. Mais Jean Gebarowski se veut rassurant : « Plusieurs services de police et certaines sociétés informatiques y arrivent cependant ».
Malgré tout, des succès existent. L'expert cite en exemple le démantèlement du cryptophone australien Ghost, fruit d'une coopération franco-suédoise, ou encore la saisie de serveurs de LockBit. Ces opérations montrent que la lutte n'est pas vaine, même si, souligne-t-il, les « méchants auront toujours un coup d'avance ».
Les règles essentielles pour se protéger
Mais concrètement, que peuvent faire les utilisateurs pour se protéger ? Jean Gebarowski le déplore, « il n'existe pas de recette miracle ». Un client ou un usager est, dans une certaine mesure, « obligé de faire confiance aux plateformes » qu'il utilise.
Mais et à l'instar des conseils que Clubic vous donne à chacune des fuites de données ou de cyberattaque qu'on vous relaie, l'expert livre quelques recommandations pour limiter les risques. La première règle, selon lui « essentielle », est de ne jamais donner d'informations secrètes en réponse à un e-mail. Même si le message semble provenir d'une source fiable. Les pirates excellent dans l'art du phishing, utilisant des données volées pour créer des messages toujours plus crédibles et donc trompeurs.
Autre conseil important : éviter de suivre les liens contenus dans les e-mails non sollicités. Mieux vaut saisir soi-même l'URL du site que l'on souhaite consulter. Si, comme Jean Gebarowski le reconnaît, « ça n'est pas toujours simple », mais peut éviter bien des déconvenues.
Enfin, il insiste sur une habitude à prendre : « consulter tous les jours » son relevé d'opérations bancaires. C'est le meilleur moyen de repérer rapidement toute transaction suspecte et de réagir avant que les dégâts ne s'aggravent.
Ces conseils peuvent paraître basiques, mais tant que l'on dénombre des cyberattaques, cela démontre qu'ils ne sont pas respectés ni suivis par suffisamment d'utilisateurs. Qui cèdera le premier à cette guerre des nerfs ?
Source : Compte X.com de SaxX, Compte LinkedIn de Jean Gebarowski, Rackspace Technology
Jean Gebarowski s'exprime en son nom propre. Ses propos n'engagent ainsi que lui et en aucun cas ses employeurs, passés ou présents.