Pas un jour sans une cyberattaque ou un piratage de données. Le développement des chemins d’accès est lui aussi exponentiel alors que les objets connectés ont investi notre quotidien. Dès lors comment défendre l’espace virtuel ? Réponses de deux experts aussi rusés que des hackers. – Par Ariane Despierres-Féry

 

Cybersécurité, de quoi parle-t-on ?

La sécurité informatique a longtemps concerné la protection de données stockées sur les disques durs d’ordinateurs ou des serveurs. « L’attaquant récupérait les données à la source, il devait être présent devant l’ordinateur ou le serveur », rappelle Jean-Marc Jézéquel, enseignant-chercheur en informatique à l’université Rennes 1, directeur de l’IRISA (Institut de recherche en informatique et systèmes aléatoires).

 

La menace est partout !

Vincent Nicomette

Vincent Nicomette

Avec l’avènement du numérique, les portes d’entrée se multiplient. « Le moindre objet connecté à un réseau, de l’alarme de votre habitation à votre box internet mais aussi les réseaux industriels et des entreprises ou les avions, sont des points d’entrée pour prendre le contrôle d’un objet, d’un logiciel critique ou collecter indument des données », confirme Vincent Nicomette, enseignant-chercheur à l’INSA Toulouse, Institut Carnot LAAS-CNRS (Laboratoire d’analyse et d’architecture des systèmes).

 

Comment prendre de vitesse les pirates ?

Jean-Marc Jézéquel © Cyril Gabbero

Jean-Marc Jézéquel © Cyril Gabbero

Les menaces sont d’autant plus nombreuses que ces objets connectés sont développés rapidement pour être mis sur un marché en forte demande. « Les questions de sécurité n’ont pour beaucoup d’entre eux tout simplement pas été envisagées à la conception » constate même le directeur de l’IRISA. Ce constat dévoile une piste de bon sens pour protéger les données : prendre en considération la sécurité des systèmes vulnérables dès leur conception ! Pour les systèmes déjà en place, pour parer d’éventuelles attaques il faut « envisager tous les scenarii et chemins d’attaque des objets ou systèmes, la tâche est immense ! », explique Vincent Nicomette. Une fois les points d’entrée identifiés, il s’agit d’imaginer des mécanismes de protection comme le chiffrement. « La cryptologie ne résout pas tout, prévient Vincent Nicomette. Est-on capable de détecter dans des réseaux mouvants une intrusion ou une activité malveillante parmi de multiples communications ? Saura-t-on mettre au point un système de monitoring apte à tracer des flux d’informations de plus en plus denses ? » « Pour être un expert en cyberdéfense, il faut connaître toutes les techniques des attaquants ! » Jean-Marc Jézéquel

 

Lutte des intelligences

Pour le directeur de l’IRISA, la lutte contre les cyberattaques s’apparente « à une course aux armements où chacun des protagonistes est toujours puis puissant. A chaque attaque on imagine une parade plus sophistiquée, c’est l’escalade de l’ingéniosité. » Etudier la sécurité dans une université de recherche comme Rennes 1 présente de ce point de vue un atout majeur : « nos chercheurs se positionnent au niveau mondial et transmettent l’état de l’art à leurs étudiants. » Jean-Marc Jézéquel coordonne d‘ailleurs le pôle recherche du pôle d’excellence Cyber en Bretagne. Autre piste révélée par le directeur : « 80 % des problèmes de sécurité sont très simples à résoudre car ils proviennent de négligences de la part des entreprises. Par exemple, stocker en clair les données d’une caméra de surveillance. Il suffirait de les coder. » Les bonnes et basiques pratiques de sécurité informatique sont qualifiées par le chercheur “ d’hygiène informatique “. Elles sont enseignées en IUT et Licence.

 

La sécurité informatique ne vaut que par son maillon le plus faible

Les masters abordent des connaissances pointues comme les protocoles de cryptologie, l’architecture logicielle, l’électronique, les ondes, les réseaux, les enjeux juridiques, les méthodologies d’analyse des risques, des politiques de sécurité, d’évaluation des systèmes informatiques, … « La sécurité informatique est une chaîne dont chacun des maillons peut être cassé. Elle nécessite donc une approche pluridisciplinaire » concluent de concert les deux experts.

www.irisa.fr
www.laas.fr/public

 

Les objets connectés (caméras de surveillance et systèmes d’enregistrement vidéo mal protégés) viennent d’être mis à profit pour mener l’une des cyber-attaques les plus intenses de l’histoire d’internet:

http://www.lavoixdunord.fr/51589/article/2016-09-29/l-hebergeur-internet-ovh-victime-d-une-attaque-massive

http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm