Marc Blanchard: “La NSA? Pas si vite!”
Dans les coulisses des opérateurs télécoms, on n’aime pas parler des systèmes de défense informatiques. “Déjà que l’on travaille avec des Chinois dépêchés par les équipementiers télécoms… alors que la Chine est souvent citée dans les cas d’espionnage” , rappelle un spécialiste du secteur.
- Publié le 17-09-2013 à 07h58
- Mis à jour le 17-09-2013 à 14h29
Dans les coulisses des opérateurs télécoms, on n’aime pas parler des systèmes de défense informatiques. “Déjà que l’on travaille avec des Chinois dépêchés par les équipementiers télécoms… alors que la Chine est souvent citée dans les cas d’espionnage” , rappelle un spécialiste du secteur. Mais pour Belgacom, on a le sentiment d’un fait extrêmement grave. Pour le spécialiste français de la sécurité informatique Marc Blanchard (BitDefender), connu sous le surnom de “Virus Docteur”, l’intrusion dans le système informatique dans le système d’un opérateur comme Belgacom ne doit, en effet, pas être pris à la légère.
Il s’agit d’une opération de commando informatique ?
Oui, on n’est pas dans le domaine des “codes pourris” utilisés par les Anonymous pour provoquer des dénis de service (DDOS) et bloquer un site Internet. Il s’agit en général de systèmes bien plus complexes, plus difficile à repérer, et qui servent en fait à “siphonner” de l’information stratégique dans des entreprises.
Mais des entreprises comme Belgacom dont la sécurité fait partie du cœur de métier doivent sécuriser d’office tous les canaux susceptibles de laisser entrer des virus ou des codes malicieux ?
Oui, évidemment, ils sont protégés et prennent des mesures contre les intrusions. Le degré de “propreté” de la bande passante qu’ils proposent est proportionnel à l’intérêt de leurs clients pour leur produit. Ils ont donc coutume de gérer ce poste en fonction d’un algorithme lié au rendement de leur investissement.
Le système de “virus” mis en place peut-il venir de l’extérieur ?
Oui, bien entendu. Ces opérateurs proposent une gamme de services tellement large que cela suppose l’utilisation d’une foule de serveurs et d’applications qui peuvent présenter des failles. Il suffit d’oublier de “patcher” un serveur avec la dernière version d’un système de sécurité pour laisser en quelque sorte une porte ouverte. Idem dans les programmes de maintenance. Et puis, il y a évidemment les attaques sophistiquées qui sont menées en tenant compte des habitudes des employés actifs dans une société visée. On rapporte des cas d’entreprises ayant repéré “des porteurs de virus” qui emmènent leur matériel pour travailler chez eux et sont contaminés à leur insu via le réseau domestique. Ce qui fait que même lorsque l’entreprise entreprend de nettoyer son réseau et ses machines, le porteur le réinfecte systématiquement.
Une technique utilisée par les pirates ?
Oui, et elle est d’autant plus difficile à détecter que les utilisateurs demandent à amener leur propre matériel au bureau dans le cadre du BYOD (Bring Your Own Device) très en vogue dans les entreprises. Les systèmes d’attaque utilisés sont aussi très évolués : ils se reproduisent et évoluent pour éviter les adaptations des systèmes de défense. On parle ici d’“attaques avancées persistantes”.
Chez Belgacom, on assure avoir repéré l’attaque à la mi-juillet et ne l’avoir totalement éradiquée que tout récemment. C’est un délai important ?
Ça ne me surprend pas. On est ici dans le cas d’une attaque complexe qui demande à la fois des compétences, des outils et une stratégie pour être maîtrisée. Dans certains cas, compte tenu d’un nombre de postes importants avec des milliers de machines, serveurs, PC, smartphones, le travail peut prendre jusqu’à six mois.
Le journal “De Standaard” qui a révélé cette affaire évoque une opération d’écoute menée par la NSA. C’est crédible ?
Si c’est la NSA, on ne le saura jamais. Ils sont trop forts. Plus sérieusement, la bonne question est de savoir qui a intérêt à espionner réellement Belgacom ou à jeter le discrédit sur sa fiabilité.
