L'Internet semble devenir un repaire de truands qui sont déterminés à exploiter « la confiance injustifiée » que les usagers placent dans ce réseau, estime M. Cross. Il ajoute que la reproduction des logiciels donne aux individus même peu férus de technologie les moyens de mener des cyberattaques aux effets dévastateurs.

La vulnérabilité associée à l'Internet présente des risques pour les pouvoirs publics, l'armée, le commerce et les usagers peu enclins à la méfiance. L'Internet est un monde complexe et dynamique de réseaux interconnectés, dépourvu de limites bien définies et de contrôle central. Comme les questions de sécurité interne n'ont pas été envisagées au moment de la conception de l'Internet, il est difficile aujourd'hui de garantir l'intégrité, la disponibilité et la confidentialité des informations.

Il s'agit là pourtant de considérations importantes, parce que l'Internet est en passe de remplacer d'autres formes de communication électronique et qu'il se développe à un rythme phénoménal. Parallèlement à cette expansion, les intrus ont accès à des outils de plus en plus perfectionnés, lesquels sont de surcroît de plus en plus faciles à trouver et à utiliser. Pour la première fois, les intrus arrivent à mettre au point des techniques qui leur permettent de s'approprier la puissance des centaines de milliers de systèmes vulnérables sur l'Internet.

Voici quelques exemples d'incidents de sécurité informatique qui ont été relatés dans la presse. Outre ces exemples, le centre de coordination des équipes d'intervention en cas d'attaque informatique, dénommé le CERT/CC, enquête sur les cas d'intrusion qui lui sont signalés par les sites de commerce électronique, ce qui se produit tous les jours.

Un intrus a obtenu 100.000 numéros de cartes bancaires en furÉtant dans les fichiers informatiques d'une douzaine d'entreprises qui vendent leurs produits en ligne. Comme les ouvertures de crédit oscillaient entre 2.000 dollars et 25.000 dollars, le vol pouvait se chiffrer à 1 milliard de dollars. L'intrus s'est fait prendre lorsqu'il a essayé de vendre ces numéros à ce qu'il croyait être un réseau de criminalité organisée, alors qu'il s'agissait du FBI.

Des intrus ont réussi à s'introduire dans les fichiers informatiques confidentiels d'une grande société américaine. Cette dernière s'est révélée incapable de découvrir la stratégie utilisée pour l'intrusion. Contrainte d'isoler son site du réseau pendant 72 heures à titre de précaution, elle a en même temps bloqué son accès aux usagers légitimes et empêché ses clients de prendre connaissance des informations qu'elle communiquait normalement sur le réseau.

On cite même un cas d'extorsion dans le cyberespace : un intrus, qui avait obtenu 300.000 numéros de cartes bancaires par le vol de fichiers informatiques d'un disquaire en ligne, a envoyé un courrier électronique au New York Times en se vantant d'avoir accédé aux données financières de cette entreprise, dont le logiciel comportait une faille qu'il avait su exploiter. Ensuite, l'intrus, qui disait être un jeune Russe de 19 ans, a exigé de l'entreprise la somme de 100.000 dollars, en contrepartie de quoi il aurait détruit les fichiers confidentiels qu'il détenait. Lorsque l'entreprise a refusé de céder au chantage, l'intrus a diffusé sur l'Internet des milliers de numéros de cartes bancaires, ce qui a fait le plus grand tort à l'entreprise du point de vue publicitaire. Les spécialistes ne savent toujours pas comment l'intrusion s'est produite et ils n'ont pas encore mesuré pleinement les répercussions de cette intrusion pour les clients du site touché. Les institutions financières émettrices ont annulé et remplacé les cartes bancaires dont le numéro avait été volé et elles en ont avisé les titulaires par courrier électronique. Selon les spécialistes, de nombreux cas d'intrusion ne seraient jamais signalés.

En mars 2000, un groupe d'intrus du Royaume-Uni se sont introduits dans les systèmes informatiques d'une douzaine au moins de multinationales et ils ont subtilisé des fichiers confidentiels. Jamais aucune entreprise britannique n'avait été victime d'une attaque systématique aussi grave. Les intrus ont exigé des rançons, certaines atteignant jusqu'à 10 millions de livres, en échange de la remise des fichiers. Scotland Yard et le FBI enquêtent et suivent de très près les messages électroniques qui sont échangés entre l'Angleterre et l'Ecosse. Les enquêteurs sont convaincus d'avoir affaire à un groupe de professionnels qui pourraient agir pour des intermédiaires spécialisés dans l'espionnage commercial.

Si la mission même du CERT/CC ne suffisait pas à nous en convaincre, les exemples ci-dessus montrent clairement qu'il nous reste encore beaucoup à faire pour garantir l'intégrité de nos réseaux électroniques de façon à répondre aux besoins du commerce électronique, qui est en pleine expansion. D'ores et déjà, on peut prendre des mesures susceptibles de réduire le risque de failles dans les systèmes de sécurité, dont les répercussions sont si lourdes pour les entreprises qui tentent de s'implanter sur le marché électronique.

La puissance de séduction de l'Internet auprès des intrus

Par rapport aux autres infrastructures vitales, l'Internet semble être une pépinière virtuelle d'attaquants. Si certaines intrusions relèvent du simple désir de s'introduire dans un système, juste pour le plaisir d'y aller (c'est le cas, par exemple, de jeunes qui veulent tester la capacité du réseau), alors que d'autres visent à nuire, toutes peuvent avoir des conséquences préjudiciables dans la mesure où elles empêchent les transactions commerciales de se faire sur le réseau. Les intrus obtiennent un accès privilégié à un système qui passe alors sous leur contrôle. Ils peuvent ensuite se servir de ce système pour mener des attaques contre d'autres sites ou comme maillon dans la distribution d'outils d'intrusion par le système lui-même, ce qui permet de faire intervenir un grand nombre de sites simultanément, ceux-ci attaquant tous en même temps un hôte ou un réseau, voire plusieurs. D'autres attaques, encore, sont conçues pour obtenir des informations névralgiques, des mots de passe ou des secrets commerciaux par exemple. On peut trouver des stratégies spécifiques d'attaque dans les bulletins du CERT/CC, qui sont publiés en ligne à l'adresse www.cert org. Malheureusement, les attaques contre l'Internet en général, et en particulier celles qui visent à bloquer l'accès aux services - autrement dit, à empêcher des usagers légitimes d'utiliser un service - demeurent faciles à mener, difficiles à élucider et sans gros risque pour l'intrus.

S'il est facile de corrompre l'Internet, c'est que ses utilisateurs accordent au réseau une confiance injustifiée. Souvent, les entreprises qui ont un site ne sont pas conscientes du degré de confiance qu'elles placent dans l'infrastructure de l'Internet et ses protocoles. Malheureusement, l'Internet a été conçu au départ pour résister à des attaques ou à des événements extérieurs à l'infrastructure du réseau – c'est-à-dire à des attaques matérielles contre les câbles et les ordinateurs qui composent le système. Il n'a pas été conçu pour résister aux actes de malveillance qui viennent de l'intérieur, autrement dit qui sont le fait d'individus faisant partie du réseau. Or, maintenant que l'Internet regroupe autant de sites, ses initiés se comptent par millions.

Les attaques contre l'Internet sont un jeu d'enfant pour d'autres raisons. Il est vrai que certaines nécessitent des connaissances techniques – d'un niveau équivalent à celui d'un étudiant titulaire d'un diplôme en informatique – mais il ne faut pas oublier que même des individus peu férus sur le plan technique sont capables de mener à bien un grand nombre d'intrusions. Ceux qui possèdent les compétences nécessaires reproduisent leurs logiciels et les informations utiles en les présentant sous une forme facile d'emploi et peu coûteuse, si bien que les novices peuvent faire autant de mal que les spécialistes.

La difficulté de remonter à la source des attaques

À l'aide d'une technique connue sous le nom anglais IP spoofing, les intrus peuvent masquer leur identité et leur emplacement sur le réseau. Les données qui circulent sur l'Internet sont transmises dans des paquets d'information, dont chacun contient des informations sur l'origine et la destination de ces données. On peut comparer un paquet d'information à une carte postale – l'expéditeur inscrit une adresse qui est censée être la sienne, mais elle ne l'est pas nécessairement. L'Internet est conçu de manière à rapprocher chacun de ces paquets de leur destination finale, sans chercher à garder la trace de leur origine. Il n'y a même pas de cachet qui en indiquerait la provenance de manière ne serait-ce que générale. Pour garder la trace de ces paquets dans le cas d'une attaque, il faut pouvoir compter sur l'étroite collaboration des sites touchés et posséder du matériel très moderne.

En outre, l'Internet est conçu de manière à faciliter le transfert de ces paquets par-delà les frontières géographiques, administratives et politiques. Dès lors, pour remonter la filière d'une attaque, on peut avoir besoin de la coopération d’une multitude d’entreprises et d’organismes, dont la plupart sont peu enclins à investir le temps et les ressources nécessaires pour débusquer les intrus, parce qu'ils ne sont pas directement touchés. La nécessité même de la coopération internationale confère ainsi aux attaquants une mesure supplémentaire de sécurité, d'autant que les enquêtes judiciaires se heurtent à un certain nombre de difficultés.

Comme un intrus peut mener une attaque contre l'Internet sans avoir à être physiquement présent sur le site, le risque qu'il soit identifié se trouve réduit. En outre, on ne sait pas toujours quels événements devraient susciter des inquiétudes. Par exemple, il n'est pas inconcevable que les recherches et les attaques qui échouent soient des activités légitimes de responsables de réseaux soucieux de vérifier la sécurité de leurs systèmes. Même lorsque les entreprises sont à l'affût des activités illégitimes, ce qui est le cas d'une minorité seulement des sites raccordés à l'Internet, les intrusions passent souvent inaperçues parce qu'il est difficile d'identifier les activités illicites. En outre, comme les intrus franchissent de multiples domaines géographiques et juridiques, les poursuites judiciaires se révèlent problématiques.

Les répercussions des failles dans les systèmes de sécurité

Comme le montrent les exemples cités au début de cet article, les failles ou les faiblesses des systèmes de sécurité peuvent faire perdre du temps et des ressources aux entreprises, dont le personnel doit effectuer des recherches pour évaluer l'ampleur des dégâts causés et les dommages potentiels ainsi que pour restaurer les systèmes. Ceux-ci peuvent fonctionner de manière réduite, voire ne pas être disponibles du tout, pendant un certain temps. Des informations névralgiques risquent d'être divulguées ou modifiées, et il faut craindre la perte de confiance du public. Après une intrusion réussie, il peut être très difficile, voire impossible, de déterminer précisément les dommages subtils qui pourraient persister. La confiance du public risque d'être entamée même si l'intrus ne cause aucun dégât, parce que le site attaqué ne peut pas le prouver.

Les attaques faites pour bloquer l'accès aux services et pour divulguer des informations névralgiques se révèlent particulièrement graves pour les entreprises. Ceux qui s'en rendent coupables cherchent non pas à obtenir un accès non autorisé à des machines ou à des données, mais à empêcher des utilisateurs légitimes de se servir du système. Ces attaques revêtent diverses formes. Les attaquants peuvent mitrailler de données un réseau ou consommer délibérément une ressource en quantité limitée. Ils peuvent aussi perturber les composantes matérielles du réseau ou manipuler les données en transit, y compris les données codées. Une fois qu'une attaque de cette nature a été contrée et que le service a été rétabli, les utilisateurs retrouvent généralement confiance dans le site visé. En revanche, la divulgation d'informations névralgiques risque fort de faire naître une profonde méfiance.

Quelques solutions recommandées

Au vu de la gravité et de la complexité du problème, il convient d'envisager toute une panoplie de mesures pour atténuer les risques associés à la dépendance croissante de l'Internet et à la possibilité d'une attaque soutenue contre le réseau. Pour être efficaces, les solutions doivent passer par une coopération multidisciplinaire qui inclut l'échange d'informations et le développement concomitant de solutions de grande envergure ainsi que le soutien d'un programme de recherche à long terme.

La collecte, l'analyse et la dissémination des données sur la garantie de l'information : la nature des menaces visant l'Internet se modifie rapidement et il continuera d'en être ainsi pendant un avenir prévisible. La conjugaison des mutations techniques rapides, de l'expansion rapide de l'utilisation du réseau et de la multiplicité des emplois possibles de l'Internet, toujours nouveaux et souvent stupéfiants, crée une situation incertaine dans laquelle la nature des menaces et des vulnérabilités est difficile à évaluer et plus difficile encore à prédire.

Pour favoriser la survie de l'Internet, et celle de l'infrastructure de l'information dans son ensemble, il est essentiel que les organes chargés de l'application des lois et les équipes d'intervention en cas d'attaques informatiques continuent de veiller au grain et qu'ils s'emploient à suivre de près les vulnérabilités du cyberespace, à identifier les tendances en matière d'intrusion et à diffuser largement cette information parmi l'ensemble des usagers de l'Internet.

Le développement et l'emploi de mécanismes mondiaux de détection : pour se faire une idée des menaces qui pèsent à l'échelle mondiale, on gagnerait à s'appuyer sur l'expérience des équipes d'intervention en cas d'incidents en matière d'identification des nouvelles menaces et vulnérabilités. Le CERT/CC, par exemple, prête son concours aux administrateurs de systèmes informatiques parmi les usagers du réseau qui font état de problèmes de sécurité. En cas de faille, son personnel aide les administrateurs des sites touchés à cerner et à corriger les vulnérabilités qui ont permis à l'incident de se produire ; il informe les vendeurs des failles dans le système de sécurité de leurs produits, les aide à trouver des parades et à corriger certaines erreurs, et il facilite le suivi des réponses aux incidents, dont il garde la trace ; enfin, il fait acte de liaison auprès des autres sites touchés par le même incident.

Comme le CERT/CC et les autres principaux organismes chargés du suivi des incidents qui portent atteinte à la sécurité des systèmes informatiques sont en mesure de recueillir une quantité considérable de données, ils sont à même de cerner les tendances et de coordonner la recherche de solutions aux nouveaux problèmes qui se font jour.

Par ailleurs, les fournisseurs de service devraient créer des équipes d’intervention en cas d’incidents de sécurité et mettre au point d'autres services d'amélioration de la sécurité pour leurs clients. Sur ce point, beaucoup d'entre eux sont d'ailleurs bien placés pour leur proposer des services. Ils devraient notamment les aider à installer et à faire fonctionner des connexions sécurisées ainsi que des mécanismes propres à assurer la dissémination rapide des informations relatives aux vulnérabilités et aux parades possibles.

L'éducation et la formation pour renforcer la sécurité : la plupart des usagers de l'Internet ne comprennent pas plus le côté technique de ce réseau que celui des autres infrastructures. De même, beaucoup d'administrateurs de systèmes ne possèdent pas suffisamment de connaissances sur le réseau et la sécurité ; or l'Internet ne cesse de devenir plus complexe et plus dynamique. Pour encourager l'utilisation sans danger de l'informatique, les pouvoirs publics devraient financer le développement de matériel et de programmes éducatifs sur le cyberespace qui seraient destinés à tous les usagers, aux adultes comme aux enfants, et investir dans des campagnes d'information qui mettraient en relief la nécessité de dispenser une formation en la matière aux administrateurs de systèmes, aux responsables de réseaux et aux principaux responsables de l'information.

La recherche et le développement : il faut toujours se placer dans la perspective du long terme et investir dans la recherche pour mettre au point des systèmes et des techniques opérationnelles de nature à produire des réseaux capables de résister aux attaques et de protéger les données névralgiques. Pour ce faire, il importe au plus haut point de rechercher des solutions techniques nouvelles et fondamentales et de faire fond sur la prévention plutôt que sur la correction des erreurs.

Conclusion

L'Internet révolutionne le monde des affaires et du commerce. Au vu de l'interconnexion et de l'interdépendance des systèmes informatiques sur l'Internet, la sécurité de chacun d'entre eux dépend de celle de tous les autres systèmes raccordés au réseau. Les démarches visant à assurer la sécurité du cyberespace doivent porter sur la nécessité de signaler et de suivre les menaces et les vulnérabilités ainsi que sur l'importance de l'éducation, de la formation et de la recherche et du développement.

----------

Le Software Engineering Institute (SEI) est un centre de recherche et de développement qui est financé par l'État fédéral et qui relève de l'université Carnegie Mellon. Parrainé par le ministère de la défense, il abrite le centre de coordination CERT (CERT/CC). Depuis sa création en 1988, le CERT/CC œuvre de concert avec la communauté Internet afin de faire face aux incidents de sécurité sur le réseau, de sensibiliser les usagers aux questions de sécurité, d'assurer une formation et d'effectuer des recherches sur les stratégies techniques propres à cerner et à prévenir les failles dans les systèmes de sécurité.

Le CERT et le CERT Coordination Center sont des marques déposées à l'Office des brevets et des marques des États-Unis.