Comprendre
COMPRENDRE
Prémunir l'entreprise contre les détournements de données
Edition du 31/03/2005 - par
Aurélie Chandèze
Incontournable pour échanger des informations, Internet facilite en même temps la récupération de ces données pour des usages abusifs, voire illégaux. Les entreprises doivent en tenir compte.
Menaces informatiques liées au succès d'Internet, les logiciels espions (spywares) et le hameçonnage (phishing), ont pour points communs de détourner des informations et de faire beaucoup parler d'eux auprès du grand public. Les PME ne sont pas directement ciblées par ces abus, mais elles peuvent en pâtir.
Un spyware est un petit logiciel malicieux, discret, "programmé pour capturer de l'information sur un ordinateur et l'envoyer à un tiers", comme le définit Marc Blanchard, expert en virus chez Kaspersky Labs. Egalement qualifiés d'espiogiciels, le but premier de ces programmes est de collecter des données à des fins commerciales, comme le précise Youenn Pibot, ingénieur avant-vente chez Aladdin : "Les spywares ne sont pas délibérément nuisibles. Ils n'ont pas vocation à casser le système, contrairement aux virus, même si certains peuvent désactiver les pare-feu pour envoyer leurs données." Récupérés sans le consentement explicite de l'utilisateur, ses habitudes de navigation serviront à l'inonder de fenêtres publicitaires ciblées, son carnet d'adresses sera revendu aux auteurs de pourriels (spams), et les données plus sensibles comme les différents identifiants pourront tomber entre de mauvaises mains.
Autre nuisance rapidement visible dans une entreprise, la présence de spywares altère aussi le bon fonctionnement des postes de travail en consommant des ressources machines. Comme pour les autres menaces informatiques, la protection passe avant tout par l'éducation des utilisateurs, surtout s'ils disposent de droits suffisants pour installer eux-mêmes des programmes sur leurs postes. Beaucoup de spywares sont inclus dans des logiciels gratuits, mais les logiciels commerciaux n'en sont pas pour autant exempts, d'autant que les législations étrangères ne protègent pas toutes de la même façon les données personnelles. Il faut donc inciter les utilisateurs à la prudence, et lire soigneusement les licences d'utilisation quand elles sont présentes (sinon, méfiance). D'autres logiciels espions exploitent les failles de navigateurs pour s'installer, notamment avec Internet Explorer, dans lequel il est prudent de désactiver certaines fonctions comme les contrôles ActiveX. Si le mal est fait, des outils peuvent s'attaquer aux spywares déjà présents. Des solutions de filtrage de contenu, comme e-safe d'Aladdin ou les offres de Webwasher, ou bien encore des pare-feu bien configurés peuvent bâillonner les logiciels espions.
Souvent installés sur des passerelles pour protéger tout un réseau, ils bloquent les programmes non autorisés à envoyer des informations et analysent les flux sortants, en surveillant qu'aucune donnée sensible n'y figure. Sur le même principe que les antivirus, il existe des antispywares, qui scrutent les ordinateurs à la recherche d'espiogiciels connus ou de comportements suspects, et aident à désinstaller les programmes espions. Des antivirus comme ceux de Kaspersky ou de Panda Software détectent et éliminent certaines catégories de logiciels espions, par exemple des "keyloggers", qui espionnent les frappes au clavier. Enfin, Microsoft a acquis récemment l'éditeur Giant, dont la technologie antispyware devrait être incluse dans ses prochains systèmes d'exploitation.
A la différence des spywares, le but de l' hameçonnage est clairement illégal. Ces " hameçons " désignent de faux sites utilisés pour leurrer les clients de boutiques et services en ligne. "Il s'agit d'une technique d'ingénierie sociale, le but est d'inciter l'utilisateur à agir de manière imprudente" précise Eugenio Correnti directeur technique de F-Secure France. La victime reçoit généralement un courriel lui demandant de mettre à jour ses identifiants, avec un lien sur le site frauduleux, qui imite parfaitement le site de l'entreprise choisie pour cible. Si le client ne se méfie pas, il saisit ses identifiants, vite envoyés à l'auteur de l'arnaque. Celui-ci s'en servira pour débiter les comptes des utilisateurs imprudents ou peu informés. Seules quelques victimes suffisent à rendre ce système rentable - un étudiant français vient d'ailleurs d'être condamné pour avoir ainsi détourné 20 000 € -.
Face à ce type de fraude, une PME peut être victime dans les deux sens : si elle effectue des achats en ligne, ses coordonnées bancaires peuvent être détournées, si elle vend ses produits en ligne, son site commercial peut être plagié. Dans le second cas, l'entreprise souffre d'abord de la perte de confiance de ses clients. Des gestes commerciaux de dédommagement, non obligatoires mais souvent nécessaires pour restaurer cette confiance, peuvent vite lui coûter cher.
La prévention s'impose donc, auprès des salariés comme auprès des clients. Apprendre à reconnaître les courriels suspects et à les signaler, différencier les messages émis par l'entreprise en les personnalisant ou en évitant d'y insérer les liens, ou encore inciter à vérifier l'adresse d'une page Web (URL) avant d'y saisir des données, voilà quelques façons de réduire les risques. Des fonctionnalités de contrôle d'URL apparaissent pour les principaux navigateurs : Netcraft propose ainsi une barre d'outils pour Internet Explorer, qui bloque les URL recensées comme des sites de phishing, tandis que Mozilla réfléchit à intégrer une protection ciblant le phishing dans les futures versions de son navigateur Firefox. Une entreprise peut conseiller de tels outils à ses clients, le premier étant gratuit pour les particuliers et Firefox étant libre.
Pour l'instant, ces initiatives marchent sans doute mieux avec les fraudes visant les sites américains, plus nombreux à être visés. De leur côté, des solutions antispam comme celle de Sybari, qui détecte de manière proactive les envois massifs de messages grâce à une technologie conçue par Commtouch, peuvent éliminer au passage la plupart des courriels frauduleux, caractérisés comme les pourriels par un envoi en masse. Bon nombre de ces offres antispam fonctionnent sur un serveur, ce qui en fait des protections mieux adaptées à un usage interne à une entreprise qu'à une diffusion auprès des clients. Si le phishing se répand en France et que les préjudices financiers deviennent importants, alors ces dispositifs préventifs peuvent être complétés par des solutions d'authentification forte. Dans plusieurs pays européens, les banques fournissent ainsi à leurs clients des petits boîtiers (les "tokens"), cartes ou calculatrices chargées de générer un identifiant à usage unique, cet identifiant étant renouvelé toutes les minutes. Des constructeurs comme RSA Security ou Aladdin fournissent de telles offres. Ces solutions ne peuvent pas garantir une sécurité absolue, mais elles améliorent indéniablement la sécurité. Toutes les entreprises ne peuvent pas forcément mettre en place ces solutions à large échelle, mais ces dernières peuvent cependant aider les PME à sécuriser des sites destinés à leurs partenaires commerciaux ou clients institutionnels.
La loi punit l'espionnage informatique" Avec le phishing et les spywares, plusieurs lois françaises sont potentiellement violées : loi Informatique et Libertés, loi pour la confiance dans l'économie numérique, etc." prévient Garance Mathias, avocate spécialisée dans la sécurité informatique.
"Dans bien des cas, notamment si elle est victime de phishing, une entreprise peut mettre en avant sa bonne foi pour se protéger face à d'éventuelles plaintes de clients", poursuit la juriste. En cas de phishing avéré, l'entreprise doit dès que possible porter plainte contre X. La police dispose de services spécialisés pour traiter de telles plaintes, tenter de retrouver le coupable en contactant l'hébergeur du site frauduleux et mettre ce dernier hors d'état de nuire. Face aux spywares, l'entreprise peut dans certains cas être considérée comme responsable. Ainsi, selon Benoît Tanaka, chargé de suivre ces questions au forum des droits sur l'Internet, "si un spyware est présent dans un logiciel déployé par l'entreprise, et qu'il divulgue des données personnelles appartenant à ses salariés, il existe un risque."
Plus difficile en effet de plaider la bonne foi si l'installation du logiciel incriminé est décidée par l'employeur. Définir une charte d'usage du courrier électronique et d'Internet est un moyen de se prémunir, les salariés étant avertis de ne pas utiliser ces outils à des fins personnelles. Des données à usage professionnel risquent cependant d'être détournées. Si ces dernières proviennent d'une base déclarée à la Cnil, alors les obligations de l'entreprises sont claires : elle est tenue de "préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés. Le non-respect de cette obligation de sécurité indispensable compte tenu des multiples risques d'erreurs et de fuites, est pénalement sanctionné."
>> Obtenir des devis gratuitement de prestataires IT
16 mai 2012 - Temenos
Viadeo
Les Entretiens
