Cybersécurité - Innovations digitales et numériques

Certains anniversaires sont plus joyeux que d’autres. En ce mois de septembre, Cloudwatt et Numergy soufflent leurs deux premières bougies. Et pour l’instant, les débuts dans la vie des deux champions du « cloud français » ne sont pas enthousiasmants, c’est le moins que l’on puisse dire : en 2014, Numergy, la création de SFR et de Bull, vise six millions d’euros de chiffre d’affaires, tandis que Cloudwatt, détenu par Orange et Thalès, envisage d’en faire deux. L’an dernier, le premier avait enregistré 2 millions d’euros de recettes, le second quelques centaines de milliers d’euros à peine. Un bilan très maigre au regard de l’investissement consenti par l’Etat qui, via la Caisse des dépôts et consignations, a versé 75 millions à chaque attelage en 2012, en échange d’une participation de 33 % dans les deux entités.

Un porte-parole d'Orange a tenu à donner des précisions à cet article. « Il n'y a pas eu de siphonnage de données bancaires des clients Orange. Mais une tentative de récupération des codes d'accès des box des internautes, par le biais d'un virus sur un site de jeu en ligne. Seuls les clients qui se sont connectés à ce site ont pu être éventuellement victimes. L'accès au site a été bloqué depuis. »

Dans un message d’information en date du 5 mai, l’opérateur explique le contexte : « Le 18 avril, Orange a constaté un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales. Cet accès a entraîné la copie d’un nombre limité de données personnelles concernant des clients et des prospects. »

Selon Orange, les données nominatives des personnes concernées : a minima nom et prénom. Sinon, d’autres données ont pu s’évaporer si les champs suivants ont été remplis : adresse mail, numéro de mobile, numéro de téléphone fixe, nom de l’opérateur mobile et Internet et date de naissance.

Car autant «il y a quelques années, la tendance était plutôt de faire du hameçonnage de masse avec plein de fautes d'orthographe, aujourd'hui on est sur du hameçonnage de plus en plus évolué, qui se base sur des informations privées» seulement connues d'acteurs de confiance, explique Gérôme Billois.

«Il n'y a plus d'improvisation dans le phishing mais beaucoup de préparation, c'est un vrai métier; les pirates s'y connaissent en web design (conception de pages web, ndlr), ils s'adaptent aussi en fonction des pays visés, de la langue utilisée», renchérit Jean-François Beuze, président de l'entreprise de sécurisation des systèmes d'information Sifaris.

«L'ensemble des courriels frauduleux, ou au moins leur contenu, étaient déjà certainement prêts (au moment de l'intrusion chez Orange). Tout comme ont sûrement déjà été achetés des noms de domaines (desquels vont être envoyés les mails, ndlr) sur le modèle orange-relationsclients.fr», détaille M. Beuze.

Lundi dernier, elle a réuni les principaux opérateurs. Son objectif était de rappeler « le cadre légal et réglementaire applicable » et de leur expliquer ce qui était attendu de leur part en cas de violation. La CNIL a aussi présenté ses pouvoirs de contrôle et de sanction.

La CNIL invite aussi les clients des opérateurs à la plus grande prudence : les cyberattaques de ce genre avec fuite de données personnelles favorisent le phishing ou hameçonnage : les clients reçoivent des liens vers de faux sites, et donnent ainsi leur données sensibles ou cybercriminels. Selon la CNIL : « Il est donc nécessaire d’être attentif à de telles sollicitations, de ne pas y répondre, de ne pas ouvrir les courriers électroniques suspects et en tout cas de ne cliquer sur aucun lien, et enfin de les signaler à la cellule mise à disposition par Orange ».

Un porte-parole d'Orange a déclaré à l'AFP que les données volées, qui concerneraient environ 800 000 clients de l'entreprise, comprennent les noms, prénoms, emails et adresses postales de ces derniers. Les mots de passe n'ont, eux, pas été récupérés. Néanmoins, les informations dérobées s'avèrent suffisantes pour composer une base de données pour des campagnes de phishing ou faciliter l'usurpation d'identité en ligne par le biais de courriels trompeurs.

Les clients touchés par cette intrusion, soit environ 3% du parc d'abonnés d'Orange, ont déjà reçu ou vont recevoir sous peu un mail d'alerte pour les mettre en garde contre d'éventuelles tentatives d'hameçonnage.

La région Normandie a été choisie pour accueillir le nouveau data center car elle bénéficie de plusieurs atouts dont des conditions météorologiques idéales pour l’usage du « free cooling », une technologie pour optimiser la consommation énergétique des centres de données. Elle utilise l’air frais ambiant pour refroidir l’informatique onze mois sur douze, réduisant ainsi le recours à une climatisation artificielle plus de 80% de l’année.

Orange Business Services (OBS) est bien décidé à jouer une place de premier plan dans le paysage des Entreprises de Services Numériques (ESN, anciennement SSII) françaises. Ainsi, moins de 6 mois après le lancement de son offre de stockage cloud, Flexible Storage, OBS a dévoilé les contours de sa stratégie en matière d'accompagnement de la transformation digitale des entreprises. « Nous avons revu depuis quelques mois l'organisation d'Orange Business Services qui nous a amené à regrouper dans Orange Applications for Business nos expertises en matière de connectivité, d'expérience client et notre capacité à faire parler les données », a expliqué Thierry Bonhomme, directeur exécutif d'OBS.

Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.

Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».

Orange a utilisé la chaîne YouTube de sa filiale réservée aux entreprises, Orange Business, pour diffuser le premier numéro de ce qui semble être une série à venir de conseils en matière de sécurité, baptisée "Croco sécu". Réalisée avec des moyens très artisanaux, à base de LEGO et d'un jeu d'acteurs volontairement mauvais, cette première vidéo veut faire comprendre le risque à insérer dans son ordinateur n'importe quelle clé USB :

Des offres de cyberassurance appliquées au vol de données

En France, parmi les règlementations contraignantes, certaines dispositions de la récente loi de programmation militaire vont imposer aux opérateurs d'importance vitale (OIV) des notifications en cas d'incidents de sécurité. Tous les périmètres identifiés comme étant vitaux au bon fonctionnement de la nation seront soumis à cette obligation.

« On voit donc arriver un certain nombre d'initiatives dans les entreprises pour mieux détecter les attaques des systèmes informatiques et pour y réagir », confirme Chadi Hantouche, du cabinet Solucom, en rappelant qu'un écosystème se crée en réaction à cette évolution. Il évoque notamment les produits de cyberassurance élaborés par de grands acteurs du secteur de l'assurance. En cas de vol de données, ces contrats peuvent, selon le cas, couvrir l'identification du problème, la remise en état des systèmes, la prise en charge des frais de notifications aux clients et aller jusqu'à la restauration de l'image de l'entreprise.

Si la révélation de ces liens étroits ne constitue qu’une demie surprise, elle se révèle tout de même problématique pour Orange. La porosité avec la DGSE pouvant embarrasser nombre d’entreprises, notamment étrangères, clientes de l’opérateur ou de sa branche service OBS.

Comment faire alors ? « Il faut réfléchir à la sécurité dès la conception des réseaux », tranche Jonathan Brossard. « Même si les banques sont en avance, elles doivent faire évoluer leur réseau, car elles sont de plus en plus ouvertes au public », considère Philippe Courtot, fondateur de Qualys, une société de cybersécurité.

« On ne peut pas tout protéger. Il faut avoir une cartographie des personnes critiques et des données ultrasensibles », explique Michel Van Der Berghe. Atheos trace les administrateurs des logiciels sensibles, comme les outils de paie, afin de suivre tous leurs mouvements grâce à un système de mots de passe enfermés dans des coffres-forts électroniques. Même sur le devant de la scène, la cybersécurité reste taboue - ni Carrefour ni Voyages-sncf n'ont souhaité témoigner - et les entreprises réfléchissent à deux fois avant de porter plainte. « Elles ont souvent peur que la procédure pénale ne leur échappe, et que cela ne leur fasse de la mauvaise publicité », explique Isabelle Renard, avocate au cabinet Derriennic.

Chez HP, qui roule des mécaniques sur le sujet du Cloud, Fabrice Lamine, consultant avant-vente sur le sujet, explique que tout est affaire de maturité du marché. « Les entreprises françaises ont d’abord misé sur le Cloud pour réduire le coût des tests et du développement. Mais elles s’aperçoivent aujourd’hui que ce n’est pas là que résident les réelles économies et qu’il faut aller vers des VM (machines virtuelles, NDLR) managés. Car, sur AWS, vous achetez seulement une disponibilité. Les patchs, par exemple, restent à la charge de l’utilisateur. » Un discours qui, évidemment, fait la part belle aux prestataires de services proposant ce type de services… comme HP. Reste que cette transformation tarde à se matérialiser en France. D’abord parce que les entreprises doivent, dans le Cloud, s’adapter à un catalogue de services limité (il ne s’agit pas de reproduire le modèle de l’infogérance, basé sur le sur mesure). Mais, pour Fabrice Lamine, l’essentiel est ailleurs : « Le marché français est en retard en matière de stratégie de digitalisation. Les entreprises ont tendance à considérer le Cloud comme un vecteur pour faire grossir leurs applications, plutôt que de tirer parti des capacités intrinsèques du modèle, notamment son élasticité. » Et d’évoquer par exemple le cas d’entreprises américaines, comme Expedia, qui ont adapté leurs applicatifs de production pour exploiter au mieux les caractéristiques du Cloud public (en l’occurrence AWS). « Le Cloud en France n’est donc pas confronté à un problème d’offres, mais à un problème de demande », juge le consultant de HP. Au moins, le constat est posé.

Comment évoluent justement les attaques ciblant les entreprises ?

M.V.d.B. : D’abord leur nombre croit et de façon exponentielle. Leur typologie aussi a changé. Plus exactement, une nouvelle forme d’attaques, visant à exfiltrer des informations sensibles, a fait son apparition. Sur ces 5 % d’attaques ciblées, nous faisons face à des gens très compétents. Nous tentons de nous mettre dans la peau des assaillants pour déjouer leurs tentatives. Mais l’arrivée de ces attaques pernicieuses n’a pas fait disparaître des formes plus classiques, comme le DDoS. Sur ce sujet comme sur d’autres, travailler dans le cadre d’un opérateur télécoms, qui par définition se situe à un poste d’observation très intéressant, est un atout.