Il existe de nombreuses manières d’appréhender la sécurité informatique, selon que l’on pratique l’informatique chez soi ou en entreprise, que l’on soit familier avec les dangers de son utilisation ou non, que l’on soit une cible attrayante pour la cybercriminalité ou non.

La sécurité informatique concerne tous les utilisateurs, de près ou de loin. Elle permet de se protéger de la fuite d’information. L’information est devenue un élément à valeur hautement ajoutée. Une information est issue d’un ensemble de données. Par exemple, 20 CHF est une donnée. Si cette donnée apparaît sur une étiquette collée sur un emballage de clé USB, alors ce même 20 CHF devient une information. Une seule donnée extraite de son environnement n’a pas beaucoup d’impact. Par contre, l’agrégation d’une multitude de données élargit le champ des possibles et constitue une ressource brute. La récolte de données permet aux entreprises de cibler leur offre, aux gouvernements de gérer leurs habitants, aux assurances d’éviter les pertes et aux réseaux sociaux de faire des bénéfices. 

Ceci n’est pas nouveau. Les cartes fidélités sont des exemples manifestes de récolte d’information par les entreprises. Le modèle de la carte Cumulus résume bien l’idée de l’agrégation de données. En échange de son don de données, le détenteur d’une carte Cumulus peut profiter d’un ensemble d’avantages. Il peut, par exemple, recevoir des bons d’achat ou bénéficier de réductions. Il imagine certainement que ce qu’il investit pour profiter de tous ces privilèges est minime. Mais rien n’est moins sûr. La Migros, grâce à ces cartes, peut agréger toutes les données de ses acheteurs et ainsi adapter son offre aux besoins des consommateurs.

Avec Internet et ses technologies, il devient encore plus simple de récolter des informations sur les usagers. Le problème est que les données sont souvent glanées à l’insu des internautes. Soit ils ne sont pas conscients qu’ils fournissent de l’information, soit ils en ont conscience mais ne réalisent pas l’impact que cela peut avoir. Sur les réseaux, il est simple de se procurer de l’information et ceux qui sont à la chasse aux données peuvent avoir des desseins bien malveillants.

Généralement, les pirates informatiques attaquent différentes failles pour atteindre leurs buts. Et les failles sont multiples. Elles peuvent être intrinsèques à la conception des systèmes mais elles peuvent aussi être humaines. Le fait d’attaquer la faille humaine s’appelle le social engineering (ou l’ingénierie sociale). Le social engineering est défini par « la manipulation d’une personne pour l’inciter à livrer des informations confidentielles à son insu »¹. Par exemple, les pirates se font passer pour des ingénieurs système, au téléphone ou par mail, et demandent les codes d’accès. Ils arrivent, et c’est leur force, à se montrer très persuasifs et professionnels. Cette technique est la plus commode pour arriver à ses fins, les autres attaques nécessitant des connaissances accrues en informatique. Obtenir un code d’accès permet d’usurper des identités pour entrer dans les systèmes, accéder à des comptes bancaires, lire, copier et voler des informations. Étant donné la structure d’Internet, il est très difficile de s’assurer de l’authenticité d’un utilisateur. L’anonymat est quasiment garanti et cela pousse les malfaiteurs à agir par ce biais. De plus, il est ardu pour un internaute lambda de déceler une intrusion de ce genre.

Il est possible pour des hackers de prendre le contrôle d’un compte Facebook. Il leur est aussi possible d’enregistrer les frappes sur un clavier. Ils peuvent même pirater une webcam et regarder un utilisateur devant son ordinateur. La question à se poser, avant de s’inquiéter plus avant, est de se demander à quelle genre de cible les pirates s’intéressent. Une cible intéressante est une cible mal protégée, inconsciente des risques et qui a de la valeur (ex : argent, données sensibles,…). Le dernier élément est le plus important car peu de hackers attaquent des cibles sans intérêt. La plupart des utilisateurs du réseau des réseaux, s’ils mettent en place certains fondamentaux de sécurité et qu’ils sont conscients des menaces, ne risquent rien.

Ces fondamentaux sont:

– protéger ses comptes en ligne avec un mot de passe qui n’existe pas dans les dictionnaires. En effet, les hackers peuvent trouver votre mot de passe très facilement s’il fait partie des listes des mots de passe les plus usités. Il leur suffit de lancer un programme itératif simple ;

– éviter de livrer des informations sensibles, quelles qu’elles soient, sur le net (ex : photos compromettantes, lieux où l’on se trouve régulièrement, numéros de téléphone,…) ;

– changer son mot de passe dès qu’il y a une suspicion d’usurpation de compte ;

– ne jamais répondre à un e-mail d’une entité qui prétend être de confiance et qui vous demande des informations sur votre compte (ex : mot de passe, code). Un service informatique ou un banque ne vous demanderont jamais ce genre de données sensibles ;

– vérifier lorsqu’on se connecte à un site sensible que le sigle est https. Les communications sur Internet, par défaut, ne sont pas protégées. Le s signifie « secured ». Ce s informe l’utilisateur que les communications sont cryptées. Cette protection n’est cependant pas sans failles car le décryptage est un véritable sport pour certains ;

– ne pas fournir ses mots de passe à des inconnus. Certains pirates n’hésitent pas à se rendre dans les entreprises et prétendre qu’ils en font partie mais qu’ils ont « juste oublié leur mot de passe » pour accéder au système. Leurs « collèges » leur prêtent alors le leur. Il faut éviter le plus possible de transmettre ses codes d’accès. S’il n’y a pas moyen de faire autrement, les changer immédiatement après leur utilisation par un tiers ;

– ne jamais écrire son mot de passe sur sa place de travail (ex : sous le tapis de souris, derrière l’ordinateur), ni créer un dossier « codes » avec la liste de ses mots de passes.

Se méfier de tout n’est pas la solution. Internet et ses technologies sont fondés sur le partage de données et de connaissances. Avec environ 40 milliards de mails envoyés par jour en 2007², Internet est le vecteur d’échange numéro un de nos sociétés. Les logiciels libres, Wikipédia, le cloud computing sont des outils indispensables aujourd’hui. Tout le monde a accès à une masse de connaissance gigantesque. Mais sans apprendre à utiliser ces outils convenablement, ils peuvent devenir des armes. Et ces armes peuvent se retourner contre les utilisateurs. En fait, c’est comme si on mettait un couteau dans les mains d’un enfant sans lui expliquer comment l’utiliser et sans lui dire qu’il risque de se blesser. Le couteau est un instrument essentiel qu’il faut apprendre à manier, tout comme les nouvelles technologies. Cependant, les nouvelles technologies sont si jeunes qu’il n’existe pas d’autorité compétente pour les enseigner et ceux qui s’y connaissent le plus sont souvent autodidactes. Il s’agit donc, pour l’utilisateur, de prendre ses précautions, de ne pas foncer tête baissée dans les nouvelles technologies, de s’interroger et d’oser demander conseil. Il évitera ainsi de se faire avoir et d’essuyer de malheureux déboires…

¹ GHERNAOUTI-HELIE Solange, Sécurité informatique et réseaux, 3e édition, Dunod, Paris, 2011, p.32

² Sans compter le spam, International Data Group, SWOT Analysis, 2007