|
 |
 |
Les
autorités américaines, FBI en tête, partent en guerre contre les
cyberpirates qui ont réussi à perturber plusieurs sites
informatiques comme Yahoo! ou Amazon.com. Toutes les pistes sont
examinées, de l'intervention d'un gouvernement étranger à l'acte de
vandalisme d'adolescents
Les attaques perpétrées ces
derniers jours contre les champions du cybercommerce sont
spectaculaires, à la mesure de l'importance du réseau, mais elles
n'ont pas provoqué de dommages sévères
En Suisse, une
vingtaine d'attaques potentielles ont lieu chaque jour, mais aucune
de l'envergure de celle subie aux Etats-Unis. La réplique s'organise
petit à petit
|
|
| |
Les
nouveaux pirates dévoilent les faiblesses d'Internet
Maria Pia
Mascaro, New York
Vendredi 11 février 2000
Aux grands
maux les grands moyens. Face au vandalisme informatique dont ont été
victimes depuis lundi plusieurs sites Internet parmi les plus
populaires aux Etats-Unis, les autorités américaines ont promis de
frapper fort en ouvrant une enquête criminelle contre les
cyberpirates. Le département de la justice, la sûreté fédérale (FBI)
et d'autres agences gouvernementales vont unir leur effort «pour
rechercher par tous les moyens les responsables et les traduire en
justice», selon le procureur fédéral Janet Reno. Car, pour ces
cyberenquêteurs, il ne fait plus aucun doute que les attaques à
répétition sont le fruit d'une action concertée, probablement de
longue date.
Le premier assaut, dans ce qui apparaissait encore
comme un acte isolé, a été donné lundi soir contre le site Yahoo!,
paralysant l'accès à ce portail d'entrée pendant près de trois
heures. Le lendemain, la librairie virtuelle Amazon.com, le
supermarché Buy.com, la maison de vente aux enchères eBay.com et le
site de la chaîne toute info CNN,
CNN.com flanchaient à leur
tour sous l'assaut des pirates. Mercredi, les vandales bloquaient
temporairement l'accès de E-Trade et Datek Online, respectivement
numéro deux et quatre du courtage en ligne aux Etats-Unis, tout
comme celui du site d'informations technologiques ZDNet. A chaque
fois, le scénario utilisé est identique: les sites ont été inondés
de messages lancés depuis des adresses factices, ce qui a entraîné
la confusion puis un embouteillage des serveurs, forcés de déclarer
forfait à la manière d'un standard téléphonique saturé. Outre les
sites concernés, ce flux de «faux messages» a aussi eu pour effet de
ralentir considérablement la navigation sur le réseau. L'accès aux
40 sites les plus fréquentés du Web prenait mardi et mercredi deux
fois plus de temps qu'habituellement.
Tous les sites assaillis,
à l'exception de E-Trade, assurent que leurs banques de données
n'ont pas été violées. Les pirates n'auraient fait que bloquer
l'entrée de la maison, mais ne seraient pas parvenus à s'emparer
d'objets de valeur, comme des numéros de cartes de crédit, des mots
de passe pour des boîtes
e-mails ou d'autres informations
confidentielles sur les clients et usagers des sites. Des sites qui
sont par ailleurs restés muets sur le montant des «dégâts» subis. Le
centre de recherche Forrester Research s'est aventuré au jeu des
estimations, avançant que le site Amazon.com, fermé pendant une
heure, pourrait perdre jusqu'à 4,5 millions de dollars par jour en
cas de crash prolongé. Pour Yahoo!, fermé trois heures, la perte est
estimée à 1,6 million de dollars par jour.
Pour l'heure, le FBI
est dans le bleu. «A ce stade tout est possible, y compris
l'implication d'un gouvernement étranger», affirmait mercredi Ron
Dick, responsable des enquêtes informatiques au Centre de protection
des infrastructures nationales (NICP), dépendant du FBI. Ce
superflic n'excluait pas non plus la thèse de l'acte de vandalisme
de jeunes adolescents, férus d'informatique. A ce stade de
l'enquête, peu d'éléments ont été communiqués. Le site Ebuy, dont
l'attaque a coïncidé avec l'entrée en bourse du titre de la société
mardi, aurait été victime d'attaques lancées par des ordinateurs
hôtes super puissants à Boston, New York et Chicago. Mais cette
localisation ne dit pas grand-chose sur celle des pirates puisque
l'astuce réside précisément dans le lancement d'assauts à partir
d'ordinateurs tiers squattés.
Les appels à la prudence du FBI
n'ont pas empêché les spéculations sur l'identité des pirates. Outre
les thèses évoquées par la police fédérale, certains cybernautes
vont jusqu'à évoquer une astuce diabolique du gouvernement
américain, tenu pour l'auteur des attaques dans le but de se voir
octroyer davantage de moyens financiers et juridiques pour contrôler
la toile. La piste du piratage commercial, orchestré par des
compagnies lésées par le succès grandissant des sociétés en ligne,
est aussi retenu. D'autres y voient la main de courtiers, désireux
de faire baisser la valeur boursière de ces compagnies, pour pouvoir
les racheter ensuite à bas prix. En revanche, la communauté des
«hackers», ces hérauts de la liberté du Net passés maîtres dans
l'art de l'intrusion informatique pour la beauté du geste, rejette
la thèse du complot vu la «simplicité» de la technique utilisée qui
ne requiert aucune habileté. Des logiciels de «saturation», comme
TribeFloodNet, disponibles sur le Net, permettent en effet l'envoi
de millions de messages pour encombrer le réseau.
Info ou intox,
les compagnies en ligne se sentent dans l'obligation de rassurer
leurs clients. Un premier sondage de Forrester Research indique que
58% d'usagers novices du marché en ligne affirmaient de pas avoir
l'intention de retourner sur un site commercial victime d'un crash.
Prenant au sérieux cette inquiétude grandissante, plusieurs sociétés
de la Sillicon Valley, en Californie, dont eBay.com, faisaient part
jeudi de leur volonté de travailler conjointement pour lutter contre
le piratage informatique.
|
 |
 |
Des dégâts mineurs et des effets bénéfiques pour
l'économie du Net
Quelques Robins des Bois se sont attaqués au géant
Internet. Si l'acte est spectaculaire, il n'a pas provoqué de
dommages sévères.
Pierre Grosjean
Les
attaques perpétrées ces derniers jours contre les champions du
cybercommerce sont certes spectaculaires, à la mesure de
l'importance du réseau dans l'économie globale, mais elles
n'auront pas provoqué de dommage sévère. Techniquement,
l'affaire paraît plus proche de la surcharge d'un standard
téléphonique que de la destruction d'un centre commercial. Ne
dramatisons pas.
Pour Yahoo! comme pour les autres sites
attaqués, les dégâts sont restés minimes: des serveurs
inaccessibles pendant quelques heures, un manque à gagner qui
reste à estimer, une frousse monumentale et basta. L'événement
n'a rien à voir avec ces formes de cyberterrorisme autrement
plus graves que sont l'effraction, le viol de données privées
ou confidentielles, la destruction de fichiers ou le sabotage
logiciel. En l'occurrence, les pirates se sont contentés de
multiplier les requêtes en direction des sites les plus
célèbres de la planète, de manière à paralyser leurs serveurs
et à démontrer leur fragilité. On peut dire qu'ils y ont
réussi avec un certain panache. Le profil des victimes (CNN,
E-Trade, Amazon ou le bien nommé Buy.com) symbolise l'Internet
devenu mercantile, et c'est peut-être cette arrogance
commerciale que les hackers ont voulu démonter. A ses débuts,
le Net n'était qu'un espace d'échanges désintéressés.
L'arrivée en force du commerce électronique marque la fin
d'une utopie et cette évolution ne plaît pas à tout le monde.
Quelles que soient les motivations de ces agresseurs encore
non identifiés, l'affaire aura finalement un effet bénéfique
sur l'économie du Net: les sites commerciaux vont dès lors
«acheter de la sécurité», comme l'indiquent les cotations déjà
en hausse des assurances spécialisées et des entreprises
actives dans la protection informatique. De plus, ces attaques
spectaculaires auront mis en lumière les failles d'un réseau
qui n'avait pas été conçu pour les transactions sécurisées. De
quoi refroidir, un peu, l'enthousiasme des entreprenautes qui
voyaient dans le Net la panacée du commerce global.
Que
les hackers aient enfreint la loi ne fait aucun doute, et
c'est à juste titre qu'une enquête criminelle a été ouverte.
Les flibustiers ne pouvaient pas ignorer les conséquences de
leurs actes, ce qui accrédite la thèse d'une opération
concertée et malveillante. Même si la technique est à la
portée de n'importe quel informaticien dégourdi, il est peu
probable qu'un petit groupe d'amateurs ait lancé ces attaques
répétées. Sur le plan symbolique, l'affaire devrait ainsi
marquer une date dans l'histoire du Net. Quelques semaines
après la grande peur du bug (lequel, rappelons-le, a été
empêché grâce à un travail considérable de prévention), un
nouvel accroc démontre à quel point le monde occidental dépend
de sa technologie. Que les victimes de ce piratage n'aient pas
de réelle existence physique ajoute encore au fantasme: malgré
leur capitalisation boursière impressionnante, ces entreprises
ne dégagent pas encore de profit (à l'exception notable de
Yahoo!). Elles se résument à des idées et à des logiciels. On
parle d'économie virtuelle. Les pirates présentent la face
sombre de cette virtualité: anonymes et intraçables, ils
révèlent les failles d'un système basé sur la seule logique.
Il ne s'agit pas de mettre en doute les avantages de la
nouvelle économie, mais de repérer ses lacunes, qui seront
progressivement corrigées. En exploitant ces lacunes de
manière spectaculaire, les pirates ont sans doute rendu
service à l'économie du Net.
| |
|
|
Une vingtaine d'attaques potentielles chaque jour en
Suisse
Une fondation vient d'être créée par les entreprises
suisses et la Confédération pour coordonner la lutte contre
les abus.
Frédéric Koller
Alors
que le FBI se mobilise pour traquer le cybercrime et que
l'Etat américain promet des dizaines de millions de dollars de
rallonge budgétaire pour renforcer la lutte, la Suisse
découvre les risques liés à la «société de l'information».
Aucune attaque comparable à celles subies en début de semaine
par des sociétés américaines n'a encore eu lieu, mais le cas
de Yahoo pourrait très bien se reproduire ici.
«Une
vingtaine d'attaques potentielles ont lieu chaque jour en
Suisse, explique Bernhard Hammerli, professeur en sécurité
informatique à l'école supérieure de technique et
d'architecture de Lucerne. Ce sont de petites attaques et il
est très difficile de connaître leur vraie nature, de
connaître leur but.» La plupart sont insignifiantes et
n'engendrent que des pertes minimes aux entreprises. Mais il
ne faut pas sous-estimer la criminalité économique,
l'espionnage entre concurrents. Des exemples? On parle du site
de la Bourse de Zurich ou de celui de l'UDC, l'an dernier.
Mais en ce qui concerne les entreprises, le sujet est tabou:
«Imaginez qu'un hacker pénètre le système de sécurité
informatique d'une banque, poursuit le professeur, cette
dernière n'a aucun intérêt à en parler.» Les spécialistes
évoquent également des factures téléphoniques, par exemple,
que des particuliers arrivent à faire payer à des entreprises.
Petit à petit, la lutte s'organise dans les milieux
économiques. En novembre dernier, la création de la Fondation
InfoSurance est venue combler un vide pour coordonner leur
action. Avec un budget d'un million de francs, auquel
devraient s'ajouter 250 000 francs de la Confédération, elle
prévoit de créer un service de dépistage pour «détecter à
temps les dangers et prévenir les pannes». Son directeur, Kurt
Haering, estime toutefois que les attaques américaines n'ont
pas un but criminel: «Leurs auteurs ne demandent pas d'argent.
C'est une bataille pour le plaisir, pour montrer qu'ils sont
les plus forts. Aucune entreprise en Suisse ne représente une
telle attractivité pour ce type de hacker.»
Possible. Mais
un premier rapport de InfoSurance souligne que la Suisse est
le pays qui a le plus investi l'an dernier par habitant dans
l'infrastructure informatique et que la densité d'ordinateurs
et de réseaux y est devenue très forte. Ce qui représente un
avantage compétitif économique évident ouvre aussi la porte à
des abus «sans limites»: il suffit d'un PC, d'un modem et d'un
peu de savoir-faire, facilement disponible sur Internet, pour
«abuser, falsifier, voler ou détruire des données, et ceci
incognito, depuis n'importe quel endroit du monde et à un coût
minimal».
| |
|
|
Ce
que dit la loi
Sylvie Arsever
Bloquer l'accès d'un site est un délit spécifique dans
certains Etats américains, toujours à la pointe du progrès en
matière de criminalité informatique. Ailleurs, la question est
plus controversée, même si tous les pays d'Europe de l'Ouest,
dont la Suisse, disposent désormais de dispositions
spécifiques visant la délinquance virtuelle.
Pénétrer
dans un système informatique fermé au public peut, selon le
droit suisse, être puni de trois ans de prison au maximum.
Mais les pirates qui paralysent des sites, par bombardement
d'e-mails ou par d'autres méthodes, utilisent justement des
systèmes ouverts au public et ils ne tomberaient donc pas,
s'ils agissaient en Suisse, sous le coup de cette disposition.
Voler, modifier ou détruire deS données informatiques
est également puni par le code pénal depuis 1995. Les peines
peuvent aller jusqu'à cinq ans de réclusion dans les cas
graves. Mais là encore, il est parfaitement possible de
paralyser un site sans soustraire, détruire ou modifier des
données, du moins durablement. Reste, estime l'avocat genevois
Gérald Page, auteur de plusieurs publications sur le sujet du
droit et de l'informatique, une autre voie à explorer:
L'entrave aux communications constitue un délit
punissable de trois ans de prison au maximum. Cette
disposition vise celui qui «intentionnellement aura empêché,
troublé ou mis en danger l'exploitation d'une entreprise
publique de transports ou de communications, notamment celles
des chemins de fer, des postes, du télégraphe ou du
téléphone». Internet
peut-il être assimilé à une
entreprise publique de communications? La question, pour le
moment n'a pas été posée. Mais il est indéniable que les
pirates ont posé leurs barrages sur l'une des autoroutes les
plus fréquentées au monde...
Si les pirates avaient
attaqué un site suisse et que la disposition ci-dessus leur
soit applicable, ils seraient sans doute punissables en Suisse
puisque le résultat de leur délit s'y est produit. Mais aller
les chercher dans le pays où ils se cachent, au rythme où se
déroule encore la collaboration judiciaire internationale,
relèverait du défi...
| |
|
|
|
|
|
