interview

"Le hacking de Belgacom a servi d'électrochoc"

©Dieter Telemans

Après une semaine riche en révélations sur l’activité des cybercriminels, clôturée par l’annonce du piratage des cartes SIM des opérateurs belges, Olivier Bogaert, de la Computer Crime Unit, revient sur la difficile lutte contre une menace multiple et discrète.

Depuis 1997, Olivier Bogaert se penche, pour la police fédérale, sur l’utilisation d’internet à des fins criminelles. Un travail d’inspecteur qu’il combine avec une importante démarche de prévention: présence dans les médias, journées d’informations dans les écoles, l’homme est sur tous les fronts. De quoi lui donner une perspective particulièrement large sur l’actualité récente, de la question du respect de la vie privée sur les réseaux sociaux à la lutte contre les outils d’espionnage des agences de renseignement étrangères.

La semaine a démarré par la révélation du vol de près d’un milliard de dollars par des cybercriminels à une trentaine de banques dans le monde: comment est-ce encore possible à l’heure actuelle?!
D’abord parce que la manipulation était intelligente: les auteurs modifiaient les extraits de compte de manière à ce que les déplacements d’argent, bien réels, n’apparaissent nulle part. Virtuellement, l’argent était toujours là, mais les sommes avaient été créditées sur un autre compte, ce qui rend la détection particulièrement difficile.

Il ne faut pas oublier non plus que dans certains pays, la sécurité des transactions bancaires est franchement élémentaire, avec un simple identifiant et un mot de passe. En Belgique et dans d’autres pays européens, nous sommes passés à des niveaux de sécurité très élevés et le Digipass, par exemple, est un handicap majeur pour les pirates informatiques.

Et puis, il y a certains pays qui ne nous facilitent pas la tâche, qui sont presque des zones de non-droit comme Madagascar, qui héberge des services qui permettent de mettre en place de fausses évaluations des sites internet, ou les Îles Tonga dans le Pacifique, qui vendent leurs noms de domaine sans vrai contrôle. Et on retrouve beaucoup de sites frauduleux en ".to".

Express

"Un très grand nombre de citoyens et parfois d’institutions utilisent encore des logiciels et des systèmes d’exploitation anciens pour lesquels il n’y aplus de mises à jour de sécurité."

"Il faut mettre les citoyens et les entreprises face à leurs responsabilités pour la sécurité de tous."

"Le hacking de Belgacom a servi d’électrochoc pour un grand nombre d’entreprises."

"Des outils qui renforcent la confidentialité, d’accord, mais la possibilité pour la police de faire son travail ne doit pas être sacrifiée."

"Nous entretenons d’excellentes relations avec Microsoft, qui a conscience de ses devoirs civiques. Mais beaucoup d’autres, comme Twitter, se réclament du droit américain pour ne pas répondre à nos demandes."

L’on apprenait aussi cette semaine que les banques belges tardaient à déployer les mises à jour de leurs protocoles de sécurité. Y a-t-il encore des problèmes majeurs de sécurité en Belgique?
Ce qui m’a dérangé dans cette information, c’est que le blogueur en question met en évidence des failles dans le protocole de sécurité SSL, ce qui permettrait d’intercepter les données échangées entre l’ordinateur du client et le serveur de sa banque. Soit. Le problème, c’est que pour réellement exploiter cette faille, il faut accéder à la transaction et donc avoir piraté préalablement le serveur de la banque. Il faudrait en outre être capable d’intercepter la signature numérique générée par le Digipass pendant les quelques dizaines de secondes durant lesquelles elle reste valide. Techniquement, c’est faisable, mais c’est extrêmement complexe et peu intéressant pour un cybercriminel.

Est-ce néanmoins symptomatique d’un manque de préparation?
Cela met surtout en évidence un autre problème, bien plus généralisé: le fait qu’il y a encore un très grand nombre de citoyens et parfois d’institutions qui utilisent des logiciels et des systèmes d’exploitation anciens pour lesquels il n’y a plus de mises à jour de sécurité. Windows XP est encore là!

J’ai reçu un courrier cette semaine d’un homme qui se plaignait, et se demandait s’il était légal que sa banque lui imposait un ultimatum, lui disant que si, pour la fin mars, il n’avait pas changé de système d’exploitation, il ne pourrait plus accéder au PC banking. C’est comme si la personne s’offusquait d’avoir reçu une carte rouge pour son véhicule lors d’un contrôle technique et ne pouvait plus l’utiliser!

Les banques se retrouvent donc à devoir assurer un service avec des utilisateurs dont les systèmes ne sont absolument pas sécurisés, ce qui pourrait compromettre leurs propres infrastructures. C’est proche de l’absurde.

"Il faut partager l'information sur les piratages"
Olivier Bogaert

Il faut que le message soit clair: pour accéder à nos services, et pour la sécurité de tous, il faut répondre à un minimum d’exigences techniques. D’autant que dans le monde du logiciel libre, il existe des outils pour prolonger la vie du matériel.

Est-ce qu’il faudrait imposer des seuils de sécurité minimum dans une série de secteurs sensibles?
Je pense que c’est l’idée qui sous-tend la création du futur Centre de Cybersécurité. Il faudrait aussi que le Cert (Cyber Emergency Response Team, organe auquel sont notifiés les incidents de sécurité informatique, NDR) dispose d’un droit, peut-être pas d’injonction, mais de rappel des normes. Il faut mettre les citoyens et les entreprises face à leurs responsabilités pour la sécurité de tous.

Les entreprises belges sont-elles réceptives sur ces questions?
Le hacking de Belgacom a, selon moi, servi d’électrochoc pour un grand nombre d’entre elles.

Il y a eu prise de conscience et les initiatives se multiplient, à l’image de la plateforme qu’a créée la FEB pour que les entreprises partagent leurs expériences en la matière. Et surtout, qu’elles partagent les informations sur les intrusions éventuelles pour que la lutte devienne collective, et donc plus efficace.

Quel devrait être le rôle du Centre de Cybersécurité?
Il faut que cela devienne un organe fédérateur, qui rassemble ce qui existe déjà et le coordonne. Il faut aussi qu’il remplisse un rôle de lanceur d’alerte, d’information sur les failles et sur les tendances de la cybercriminalité, tant pour les entreprises que pour le grand public.

Comment se passe la répartition des tâches, avec la Sûreté de l’État par exemple, lorsque l’implication d’un État est soupçonnée dans une affaire de piratage, à l’image du cas Belgacom?
Nous sommes des policiers, des enquêteurs. Donc, dès lors qu’une enquête est lancée par un magistrat, nous poursuivons le volet judiciaire. Ce qui n’empêche évidemment pas que l’information puisse être partagée avec des partenaires pour améliorer la sécurité globale.

L’autre grosse révélation de la semaine, c’est ce programme d’espionnage vieux de 15 ans, Equation Group: est-ce que c’est une menace dont vous aviez déjà connaissance avant le rapport du groupe Kaspersky?
J’en avais déjà entendu parler, il y a une série de choses qui circulaient mais ça n’avait pas l’air de toucher des pays de notre environnement.

La Belgique est pourtant formellement citée dans le rapport de Kaspersky, spécifiquement pour le secteur financier.
Oui mais les institutions financières peuvent avoir été touchées par rebond, cela peut concerner une filiale d’un groupe multinational par exemple. Je ne dispose pas des détails, et le volet information après la découverte est de la responsabilité du Cert.

Olivier Bogaert travaille depuis près de 20 ans sur les questions de cybercriminalité pour la police fédérale. ©Dieter Telemans

Nous ne pouvons agir que sur la base d’une plainte ou si l’infraction est constatée de façon flagrante, ce qui est assez délicat dans notre secteur!

N’est-il pas trop difficile de poursuivre des cybercriminels, de remonter jusqu’aux auteurs?
C’est complexe, mais généralement nous y parvenons. Pour ce qui est des poursuites judiciaires, tout dépend du pays d’origine des criminels et de sa législation. En Europe cela fonctionne assez bien, mais dès qu’on s’éloigne un peu, cela devient très délicat.

©Dieter Telemans

Est-ce que vous recevez beaucoup de dossiers clairement labellisés "espionnage"?

Je ne peux pas quantifier, mais il y a des dossiers, oui.

Qu’en est-il de l’enquête sur le piratage de Belgacom?
Elle est toujours en cours mais l’essentiel des investigations a été fait.

Peut-on s’attendre à ce que ce soit prochainement bouclé?
Cela, c’est une décision qui ne m’appartient pas (rires).

Devez-vous souvent, dans le cadre de vos enquêtes, faire appel à des partenaires extérieurs, hackers ou sociétés de sécurité par exemple?
Nous travaillons avec des sociétés de sécurité oui, mais je dois dire que les membres qui composent mon équipe sont particulièrement pointus. Je n’ai donc pas vraiment besoin de hackers.

Que penser du rôle de ces entreprises qui collaborent avec les États, les services de police, etc. mais qui restent des sociétés commerciales?
Elles sont actives dans un secteur très particulier et leur expertise est plus qu’utile. Ce sont bien des entreprises commerciales mais on pourrait les comparer aux sociétés qui font de la certification, des contrôles dans le secteur automobile par exemple.

Vos enquêtes vous amènent à côtoyer les géants américains du web, pour les écoutes notamment: la collaboration est-elle facile?
C’est au cas par cas: nous entretenons par exemple d’excellentes relations avec une entreprise comme Microsoft, qui a conscience de ses devoirs civiques. Mais pour beaucoup d’autres, comme Twitter, c’est très compliqué, d’autant que ces groupes se réclament du droit américain pour ne pas répondre à nos demandes.

"L’enquête sur le piratage de Belgacom est presque bouclée."
Olivier Bogaert
Commissaire de la Federal Computer Crime Unit

Que pensez-vous des outils comme Tor, Tails ou ce qui est actuellement mis en place sur le service de messagerie WhatsApp, qui garantissent la confidentialité à un tel point qu’il n’est pas possible d’organiser des écoutes?

Il faut bien se rendre compte que beaucoup d’activistes défendent ces outils en affirmant que c’est le seul moyen de garantir la vie privée ou que c’est utilisé par les opposants dans les régimes autoritaires.

Ce n’est pas faux, mais l’argument est fallacieux, c’est tout de même principalement utilisé à des fins criminelles, pour contourner la loi. Quand on plonge dans le "Dark web", le menu c’est: stupéfiants, escroqueries, armes, pédopornographie, etc.

Des outils qui renforcent la confidentialité, d’accord, mais à un moment, il faut baliser. Et la possibilité pour la police de faire son travail ne doit pas être sacrifiée.

Et pour ce qui est des lanceurs d’alerte, qui utilisent de plus en plus ces outils?
Franchement, je ne sais pas trop quoi penser. L’objectif est louable, mais il n’est pas toujours nécessaire d’avoir recours à ces outils, de passer par le numérique. Une carte mémoire scotchée à une lettre tapée à la machine peut souvent suffire.

Est-ce que la Belgique investit suffisamment dans sa cybersécurité? Vous disposez de moyens financiers suffisants?
Il y a des petits problèmes au niveau du renouvellement de notre matériel. Et quand je vois ce qui se passe dans les pays limitrophes, les équipes et les moyens mis à disposition, nous sommes clairement un peu à la traîne. Mais ça ne nous empêche pas de faire notre travail et nous avons reçu récemment de nouveaux outils qui nous seront fort utiles. Les choses évoluent.

[Suivez Younes Al Bouchouari sur Twitter en cliquant ici]

Lire également

Publicité
Publicité
Publicité

Messages sponsorisés

Messages sponsorisés