Ils apprennent à contrer les cyber-attaques !

Dans le domaine économique, la surveillance des concurrents, le pillage des savoir-faire et des secrets, la malveillance, voire le sabotage, existent depuis longtemps… Avec les nouvelles technologies de la communication, les “cybercriminels” et pirates de tous poils disposent de nouveaux moyens et outils. Et ce qui est vrai pour l’économie, l’est aussi pour le terrorisme international et l’espionnage “classique” entre Etats. Jusqu’à mettre en péril la sécurité et la souveraineté des Etats…

La menace est telle qu’en France, la loi commence à imposer aux entreprises (“sensibles” ou non), d’être “transparentes” et de prendre des mesures de protection. L’heure n’est plus au tabou et au silence. Un organisme, l’Agence nationale de la sécurité des systèmes d’information, a même été créé à l’intention des entreprises, administrations et particuliers…  

Bientôt un master. A l’université de Maubeuge, des enseignants de l’IUT informatique, des passionnés et même pionniers dans ce domaine, ont tout d’abord créé une association il y a dix ans, ACISSI, spécialisée dans la sensibilisation des particuliers et des professionnels à la sécurité de leurs systèmes informatiques. Et puis, assez logiquement, étant donné l’absence de formations dans ce domaine, ils ont imaginé de mettre en place une licence spécialisée.

En 2008, avec 21 premiers élèves, a été lancée la licence professionnelle CDAISI, ce qui veut dire aujourd’hui “cyberdéfense et anti-intrusion des systèmes d’information”. Elle peut accueillir 25 élèves.

Les étudiants “bac + 2” accueillis viennent de toute la France, mais aussi d’Afrique ou d’Amérique centrale… Une formation continue par “contrat pro” (25 places également) a fait son apparition à la rentrée 2014 et, à la prochaine, c’est un master qui va s’ouvrir au sein de l’Université de Valenciennes et du Hainaut Cambrésis dont dépend le site maubeugeois.

Quels métiers ? Les pionniers des débuts sont toujours là. Parmi eux : Franck Ebel, responsable pédagogique de la licence, et Robert Crocfer, responsable administratif du site universitaire. On peut y ajouter Jérôme Hennecart, enseignant en informatique.

M. Crocfer se souvient du point de départ de tout cela, en 2003, avec l’ouverture du DUT informatique : “On avait découvert que des élèves de l’époque, par jeu, par défi, s’amusaient à chercher les failles dans le système informatique de l’université et arriver à s’y introduire. D’où l’idée de le protéger…“

Aujourd’hui, avec cette licence, explique-t-il, les élèves sont formés à la réalisation d’audits techniques et à des prestations de conseils (bonnes habitudes à prendre, organisation interne à prévoir, gestion des risques…). Ils peuvent ainsi venir en aide à des entreprises et institutions, victimes ou s’interrogeant sur leur vulnérabilité. Particularité de l’enseignement : les élèves sont mis en situation de “hacker”. Un slogan résume leur enseignement : “apprendre l’attaque pour se défendre”.

 Un hacker n’est pas un pirate. Robert Crocfer tient à rétablir, au passage, la bonne définition du mot “hacker”. “Les anglo-saxons distinguent les “white-hackers” et les “black-hackers”. Un hacker, au départ, ce n’est pas un pirate, un délinquant, c’est un bidouilleur, un joueur, un passionné, un spécialiste de l’informatique qui aime se lancer des défis et participer à des challenges très sophistiqués“.

Il insiste aussi sur l’éthique qui entoure cette licence, créée pour aider à faire face à des problèmes de plus en plus “sensibles”, et sur les liens qui se sont établis, au fil des ans, avec les services d’Etat, dont la gendarmerie. “Nous sommes considérés aujourd’hui comme des ‘experts civils‘ “.

Les pirates cherchent le maillon faible

Les enseignants maubeugeois sont intarissables sur les ruses employées par les “pirates” et leur ingéniosité…  Il y a bien sûr des attaques grossières, au moyen du spamming ou du phishing (utilisés par ailleurs dans le domaine commercial). “En général, explique M. Ebel, ça vient d’Afrique, c’est assez grossier, mais quand une personne mal intentionnée récolte 5 % de réponses, elle a gagné sa journée“. Mais il y aussi des ruses plus élaborées.

Dans le domaine économique, les attaques les plus sophistiquées viennent, dit-il, des pays de l’est, de Chine, d’Etats, d’entreprises ou de bandes organisées. En résumé, il constate : “tous les objets connectés, par les ondes surtout, quels qu’ils soient, peuvent être piratés si leur sécurité n’est pas assurée“.

M. Ebel explique que les grands opérateurs (énergies, eau, téléphonie…), astreints à des audits et à la transparence, ne sont pas les seuls exposés aux cyber-attaques. Celles-ci peuvent être directes mais aussi être très indirectes pour ne pas éveiller l’attention, trouver un autre chemin et aussi rendre impossible toutes poursuites judiciaires. Un pirate, ajoute M. Crocfer, sait s’informer, trouver le maillon faible et s’engouffrer dans les systèmes de protection. Il peut viser un sous-traitant, un fournisseur, une filiale lointaine, une collectivité locale cliente, un hébergeur, un site de stockage de données, le domicile privé d’un salarié et l’ordinateur de l’un de ses enfants. “90 % des attaques, dit-il, passent par le facteur humain. L’usurpation d’identité est fréquente“. Tout peut commencer aussi par le vol d’une clé USB.

Ensuite, il y a tous les logiciels et moyens, miniaturisés, puissants et sophistiqués, qui permettent à un pirate de parvenir à ses fins. L’inventaire fait frémir et rend ringards tous les films de James Bond. “La dématérialisation, note-t-il au passage, va devoir s’accompagner d’un renforcement des mesures de sécurité“.

Heureusement, et c’est la vocation de cette licence pro, des moyens existent pour se protéger : des mots de passe compliqués, la sensibilisation du personnel aux méthodes des pirates, la création de postes spécialisés, les audits, la séparation stricte des sphères professionnelle et privée…