Avec l'avènement de la vie numérique, de profonds bouleversements ont vu le jour. Le commerce connecté, de nouvelles formes et modes de communication, la décentralisation et circulation des idées, l'e-réputation, l'e-gouvernement, les objets connectés … une vraie révolution numérique qui a changé notre vie.
Mais la médaille a un revers, le monde a connu de spectaculaires cyberattattaques, scandales de corruption, violations des droits de l'Homme et de la vie privée : la cyberattaque contre TV5 Monde en 2015, l’ONG Wikileaks ou encore l’affaire Hamza Bendaladj pour ne citer que celles-là. Conscients de ces enjeux, même le président américain Donald Trump, préconise le retour au courrier pour ne pas se faire pirater. Ca a fait rire, pourtant les choses sont sérieuses.
Alors, peut-on user et abuser des nouvelles technologies en toute sécurité, ou bien des précautions s'imposent ? M.M ingénieur en sécurité informatique, a bien voulu éclairer notre lanterne en nous livrant son regard sur la question de la cybersécurité en Algérie, dans cet entretien.
Quelle est la situation de la cybersécurité en Algérie ?
Malheureusement, on ne peut pas vraiment parler de cybersécurité en Algérie tant que nos entreprises et institutions ne sont pas encore très informatisées. L'informatisation du traitement des besoins des citoyens et des entreprises entres elles-mêmes en Algérie est encore un luxe, tandis que dans d'autres pays c’est déjà un acquis depuis plusieurs années.
Néanmoins, nous avons quelques entreprises qui utilisent les technologies d'une manière diversifiée que ce soit B-to-C (Business to consumer) ou bien B-to-B (Business to Business).
Pour répondre à votre question, je dirai que plus on a accès aux technologies plus on est menacés.
Et pour info, la majorité des entreprises en Algérie sont de type TPE (très petite entreprise), et elles n'utilisent presque pas les technologies sauf la messagerie électronique au nom de l'entreprise et un site web que certains partenaires exigent. Donc, la majorité des entreprises ne sont pas sérieusement menacées, du moins pour l'heure actuelle, et ce en raison du manque de la démocratisation de la technologie en Algérie.
Est-ce que les entreprises et les institutions algériennes (banques, ministères, sites d'informations) sont assez protégées contre les cyberattaques ?
L'immunité informatique dépend des services offerts par telle ou telle institution. A titre d’exemple, il est clair que nos ministères n'offrent pas beaucoup de services en ligne donc, l'informatisation de traitement des processus n’existe pas, ni interne ni externe, c'est à peu près comme une TPE.
Pour optimiser la sécurité d’une entreprise ou d'une banque, il faut avoir un système d'information complètement informatisé. Aussi, des technologies propres à la sécurité installée s’imposent, pour être en mesure de protéger leur système d'information existant, par exemple (Firewall, Data Loss Prevention DLP, Security Information and Event Management SIEM...etc). Ainsi que la mise en place d’une politique de sécurité bien précise et qui implique tous les collaborateurs.
Etant actif dans ce domaine en Algérie, je pense que même nos entreprises qui sont dotées de ces technologies, leurs systèmes d'informations ne sont pas encore assez matures quant à la sécurité de l'information, car pas mal de critères ne sont pas assurés.
On dit que telle entreprise est certifiée ISO 27001, cela signifie que la politique de sécurité appliquée répond aux exigences de la norme internationale de la sécurité de l'information.
Moi-même j'ai audité et fait un Pentest (Penetration Testing) pour une institution financière, et je peux vous dire que c'était vraiment une catastrophe à ce niveau-là, même les distributeurs automatiques de billets (DAB) étaient atteints !
Que risque une entreprise qui n'est pas protégée ?
C'est simple, il y'a ce qu'on appelle CIA (Confidentiality, Integrity, Availability). Ce sont les trois axes de la sécurité. On parle de piratage ou de cyberattaque lorsqu’un de ces axes est touché. Je vais donner un exemple pour chaque axe.
Confidentiality: c'est lorsque on atteint une information qui n'est pas publique. Par exemple, j'obtiens un mot de passe d'un compte de messagerie et je lis un mail avec un document en jointure, contenant la liste des tarifs d'achat.
Integrity: ça consiste à altérer une information. Par exemple sur un site de vente en ligne, si un produit est à vendre à 1000 DA, je pourrais altérer ce prix dans la base de données. Je pourrais l'acheter à 1 DA..
Availability: c'est la disponibilité du service. Restant toujours dans l'exemple précédent, si un site de vente en ligne n'est pas disponible, l'internaute irait effectuer des achats ou des transactions sur un autre site. Ce qui fait une perte voire d’importantes pertes de sommes d'argent pour l'entreprise dont la disponibilité a été affectée!
Quand un site d’informations par exemple perd des données, sont-elles récupérables ?
Quand on est victime d’un piratage, et on perd des données on ne va pas procéder à leur récupération comme s’il s’agissait de données supprimées sur une clé USB.
C’est plutôt l'entreprise qui doit absolument avoir une politique de sauvegarde, à savoir qu'il existe plusieurs types (complète, différentielle, incrémentale) pour ne citer que ceux là.
L'entreprise doit également avoir un PRA (Plan de reprise d'activité). Cela permet à la société de pouvoir réagir très efficacement, et savoir minimiser les conséquences des dégâts. Mais dans certains cas, l'aspect de la confidentialité est violé !
Est-ce qu’en Algérie la sécurité informatique est suffisamment utilisée dans la cybercriminalité et la lutte antiterroriste ?
Comme disait le président camerounais Paul Biya "Des choses ont été faites, beaucoup de choses sont en train de se faire, beaucoup de choses encore sont à venir.»
Comment cela se fait-il concrètement ?
Sur la manière dont on intervient à ce niveau-là, je vais parler en général. Par exemple, après l’assassinat de l'ambassadeur russe en Turquie, la police turque a récupéré un iPhone 4s de l'assassin. L’appareil est vite passé à l'analyse, ce qui a permis l'extraction d’informations, et c’est à partir de ces informations qu’on peut remonter à la source de ces actes terroristes, déjouer des attentats et éventuellement démanteler des réseaux. Pour les ordinateurs c'est la même chose. Avec la traçabilité, les historiques, la géolocalisation ... c'est des mines d'informations.
Il y a aussi la notion de SNA "Social Network Analysis". Il existe des technologies qui permettent de détecter les réseaux terroristes activant sur la toile, et sur les réseaux sociaux spécifiquement. Car souvent le recrutement terroriste se fait à travers les réseaux sociaux.
Est-il possible d’identifier et géolocaliser des hackers ou des cybercriminels utilisent des proxys ?
La géolocalisation des cybercriminels qui passent par le réseau TOR ou des proxys, reste actuellement très difficile voire même impossible. Ce n'est pas seulement en Algérie, c'est partout dans le monde. Ce sont les forces de l’ordre qui ont un pouvoir d'escalassion, mais ça reste quand même très difficile.
Ce métier exige des profils de hackers responsables (chapeaux blancs). Qu'est ce qui se passe si des chapeaux noirs ou gris abusent des données auxquelles ils ont accès ?
Le métier de la sécurité est assez vaste. On parle de sécurité défensive qui consiste à l'anticipation indispensable pour se prémunir contre une cyberattaque.
On parle aussi de la sécurité détective qui permet de détecter les tentatives d'attaque. Puis il y a la sécurité offensive, qui consiste à attaquer pour tel ou tel objectif.
Dans une entreprise, celui qui attaque en réalité il simule des attaques. Il est appelé dans le monde professionnel Pentester. Son travail consiste à tester et évaluer la sécurité d'un système ou d'un réseau informatique pour corriger les faiblesses trouvées par la suite.
Pour ce qui est des profils de hackers, il en existe plusieurs. Les principaux sont les gentils chapeaux blancs, qui aident à la sécurisation des systèmes et combattent la cybercriminalité.
Les méchants chapeaux noir, piratent les systèmes pour voler des données, de l’argent ou causer des dommages.
Il y a aussi les chapeaux gris, qui agissent pour la bonne cause, mais peuvent commettre des actions illégales. On parle aussi d’hacktivistes, qui agissent pour des causes politiques.