Piratage informatique: la protection à 100% n’existe pas

Après le site du gouvernement, c’est au tour de la base de données de la National Transport Authority d’être la proie des hackers. Notre système est-il si vulnérable ?

La base de données du ministère des Infrastructures publiques a été piratée. Selon une déclaration de Nando Bodha, le lundi 21 mars, c’est un cadre dudit ministère qui aurait,  de chez lui, manipulé cette base de données. Au cours de la même semaine, New Mauritius Hotels a révélé que le courriel de son Chief Executive Officer, Gilbert Espitalier-Noël, avait été piraté. Une fraude qui a coûté Rs 115 millions au groupe hôtelier. Selon une étude du Computer Security Institute, 40 % des sites des entreprises ou des institutions publiques ont été au moins une fois piratés au cours de ces dernières années. Selon les chiffres de la Cybercrime Unit, une dizaine de cas de piratage ont été enregistrés depuis le début de l’année.

Les failles du système

En 2015, cette unité de la force policière a compilé 70 cas, contre 82 en 2014 et 64 en 2013. Malgré le développement d’outils pour se protéger contre le hacking, ce fléau continue à prendre de l’ampleur. Quelles en sont les causes ? Avinash Meetoo, expert en informatique, explique qu’il n’existe pas de protection à 100 % contre le piratage. Selon lui, tout système informatique possède des failles et si celles-ci ne sont pas réparées dès qu’elles sont connues, le site peut potentiellement être attaqué. « Dans la plupart des cas, un site Web est un programme informatique qui peut contenir des failles pouvant être exploitées par des personnes mal intentionnées. Cela est encore plus vrai si le site est conçu par des développeurs inexpérimentés qui possèdent peu de notions de sécurité», explique-t-il. D’où viennent les failles ? Selon l’expert, les sites Web sont souvent protégés par des mots de passe trop faciles à deviner. « Beaucoup de personnes utilisent des mots de passe qui sont faciles à mémoriser tels que ‘12345’ ou les dates des événements. Ces mots de passe ne sont pas fiables. » Pour sa part, Noor Soormally, lui aussi expert en informatique, explique que les hackers sont très ingénieux. Dans la plupart des cas, leur modus operandi est très complexe. « Le hacker peut pirater le site avec un code spécifique qui peut enregistrer les frappes sur les ordinateurs et voler les informations. Les services bancaires ou les bases de données des autorités sont souvent les plus vulnérables. Il s’agit d’une pratique qui a grandement évolué. De nombreux sites Web sont ainsi exposés. C’est souvent le contrôle d’accès insuffisant, la vulnérabilité des logiciels et l’intégration des tierces personnes qui facilitent le piratage», souligne-t-il. Notre interlocuteur explique que le contrôle d'accès, à savoir les étapes qui permettent d’accéder aux paramètres des sites, est extrêmement important. « Les hackers utilisent plusieurs combinaisons possibles pour accéder à ces paramètres. Cela va leur donner accès aux données personnelles du propriétaire. Pour ce qui est des failles des logiciels, 95 % des administrateurs de sites sont incapables d’y répondre », affirme Noor Soormally.

Éviter les antivirus gratuits

Le constable Nasseerudin Bulladin, de la Cybercrime Unit, nous explique qu’il existe différents types de hacking. Selon ce dernier, le cas de hacking le plus récurent est le ‘phishing’. « Les commerçants et les fournisseurs échangent plusieurs e-mails pour effectuer des transactions. Le hacker est le ‘man in the middle attack’. Il s’agit d’une tierce personne qui se fait passer pour le fournisseur pour informer qu’il a changé de numéro de compte bancaire et demande au commerçant d’en prendre note. Il y a aussi l’imposteur qui se fait passer pour une quelconque personne pour ses besoins personnels ou pour nuire à l’autre. Récemment, il y a eu des cas où ceux qui veulent émerger sur un marché compétitif font crasher les sites. Alors que d’autres commettent des délits tels que ‘Unauthorised Access to Computer Data’ dans le but de détruire des données. » Et d’ajouter que selon le Cybercrime Act, un contrevenant est passible d’une amende allant jusqu’à Rs 50 000 et ne dépassant pas cinq ans d’emprisonnement. Notre interlocuteur conseille aux utilisateurs de ne pas ouvrir les mails dont ils ne sont pas sûrs de la provenance. Il souligne également que 95 % des Mauriciens installent des antivirus gratuits sur leur ordinateur. « C’est une pratique à éviter car cela peut donner accès à des hackers. De plus, si un fournisseur vous informe subitement qu’il a changé de numéro de compte, il est préférable de l’appeler pour tout confirmer. »

Comment protéger votre site Web ?

Il est important de comprendre que la moitié de la bataille pour la sécurité du site est la sensibilisation et l’éducation. Or, le problème est qu’il est presque impossible d’obtenir suffisamment de personnes sur une plateforme afin de les sensibiliser. La première chose que les administrateurs de sites Web doivent comprendre est que la sécurité commence par la réduction des risques. Mais il est aussi important de savoir qu’il n’existe pas de système de sécurité qui soit à 100 % fiable. Il faut adopter les meilleures pratiques. Tout le monde n’a pas besoin de privilèges d’administrateur, par exemple. Mettre l’accent sur la façon dont les gens accèdent à votre site Web est primordial. Protégez-vous contre l’exploitation des failles des logiciels grâce à l’utilisation d’un pare-feu. Il faut faire des backups régulièrement et enregistrer votre adresse auprès de Google et de Bing, entre autres.