PAR DOMINIQUE MEYLAN

Dès demain et jusqu’à jeudi, plusieurs sommités nationales et internationales de la sécurité informatique donneront une série de conférences à l’occasion des Swiss cyber security days organisés à Forum Fribourg (voir encadré). Afin de répondre aux attaques des hackers et mieux protéger les systèmes, une nouvelle profession est née il y a quelques années. Elle s’inspire des méthodes des pirates informatiques.

Jean Lejeune est ethical hacker chez ImmunIT, une entreprise vaudoise spécialisée dans la cybersécurité qui figure parmi les exposants des Swiss cyber security days. Il nous fait découvrir le monde des pentests, ces tests d’intrusion qui permettent de vérifier la sécurité d’une application ou d’un système.

Jean Lejeune, comment peut-on définir un ethical hacker?

Un hacker effectue différents types d’attaques avec des motivations comme l’argent, la notoriété ou l’expression d’une opinion politique. En tant qu’ethical hacker, nous avons ajouté un aspect éthique, ce qui nous permet de travailler pour différentes industries tout en respectant la confidentialité des données ou du système que nous évaluons.

Employez-vous les mêmes méthodes qu’un hacker?

Oui, ce sont exactement les mêmes. Nous utilisons les techniques des hackers, mais notre objectif est de pouvoir identifier les vulnérabilités présentes chez nos clients pour les aider à améliorer la sécurité générale de leur système d’information.

Vous vous introduisez donc dans leurs systèmes?

Nous avons plusieurs types de missions, que ce soit sur des sites web, des infrastructures externes ou simplement des réseaux internes. Et oui, nous allons essayer de passer à travers différentes vulnérabilités. Le Graal pour un hacker est de prendre la main sur le système sous-jacent pour pouvoir détourner une application.

En tant qu’ethical hacker, nous allons évaluer tous les risques. Par exemple dans un système d’e-banking, certaines vulnérabilités pourraient permettre d’identifier les clients d’un établissement. Typiquement, cela ne permettrait pas de prendre la main sur le système, mais d’exfiltrer des informations sensibles, ce qui est déjà très dommageable.

De quels outils disposez-vous?

Certains outils sont libres et disponibles sur internet, mais nous en créons également des nouveaux. Lorsque nous découvrons une vulnérabilité qui n’est pas encore connue du grand public, ce qui nous est arrivé il y a quelques mois sur un composant très utilisé dans l’industrie, nous développons notre propre manière de l’exploiter afin de le notifier aux entreprises concernées.

Testez-vous aussi les failles humaines?

Oui. Dans les missions d’ingénierie sociale (n.d.l.r.: pratiques de manipulation psychologique à des fins d’escroquerie), nous allons effectuer des tests de fishing par exemple, afin de vérifier la sensibilisation des employés d’une société à la sécurité et d’évaluer dans quelle mesure ils se font avoir par un scénario spécialement mis en place. Cette prestation ne figure toutefois pas dans nos missions quotidiennes, parce que les entreprises sont relativement réticentes. Ce vecteur d’attaques est pourtant commun, c’est certainement le plus important à l’heure actuelle.

Utilisez-vous toujours des méthodes légales?

Avant d’effectuer un pentest, nous allons identifier avec le client les différentes attaques qui ne doivent pas être effectuées. Le document qui en résulte nous permet d’effectuer nos tests en toute légalité.

Trouvez-vous beaucoup de failles?

Oui. Nous sommes dans un monde où tout est informatisé et où les développeurs, qui sont à l’origine de ces applications, ne sont pas sensibilisés à la sécurité informatique. J’ai moimême suivi un tel cursus et je n’ai eu aucune formation sur la sécurisation des applications. Il en résulte des failles, qui peuvent aussi être dues à une mauvaise architecture logicielle qui inclut des composants connus pour être vulnérables.

Y a-t-il beaucoup de hackers qui exploitent ces vulnérabilités?

Il y a des attaques ciblées effectuées par des hackers, mais aussi des attaques automatisées qui vont scanner l’internet à la recherche d’une vulnérabilité. Oui, des attaques se font tous les jours et en permanence. A partir du moment où on branche un ordinateur sur internet, on est vulnérable. Chez ImmunIT, nous agissons en prévention. Généralement, nous sommes appelés avant la mise en production, afin d’éviter justement d’exposer une application ou un service à des failles.

Ces attaques atteignent-elles leur cible?

Tout à fait. Typiquement, en Suisse romande, différents gros acteurs de la place ont été attaqués ces dernières années, ce qui a débouché sur des fuites d’informations considérables.

Quels sont les remèdes?

A la suite d’un pentest, nous allons fournir un rapport dé- taillé qui quantifie et classifie l’impact et la sévérité des vulnérabilités trouvées. Et pour chaque point, nous fournissons un ensemble de recommandations. La plus-value de notre métier se situe au niveau de cette relation avec les clients. Nous ne faisons pas que casser des applications et fournir des rapports. C’est très intéressant de prendre en considération le contexte de l’entreprise et les contraintes du métier afin de pouvoir faire une analyse au plus juste de l’état de sécurité d’un système.

Depuis quand le métier d’ethical hacker existe-t-il?

Depuis plusieurs années, mais tout ce qui est hacking est à la mode depuis deux ou trois ans. On voit fleurir des écoles qui permettent de se former à cet art.

Est-ce important pour votre entreprise d’être présente aux Swiss cyber security days?

Oui, c’est une manière de montrer que nous existons, que nous sommes un acteur de la sécurité informatique en Suisse. Comme nous sommes en pleine expansion, nous sommes aussi à la recherche de nouveaux profils. ■

Exposition et conférences

Des experts nationaux et mondiaux de la sécurité informatique ont été invités aux Swiss cyber security days. Eugène Kaspersky, CEO de Kaspersky Lab, le plus grand fournisseur privé de solutions de protections informatiques, donnera notamment une conférence sur la situation actuelle en matière de cybermenaces. Au total, une cinquantaine de présentations sont prévues sur des thèmes comme l’influence du darkweb ou les risques générés par les villes intelligentes.

Une centaine d’exposants seront présents. La manifestation s’adresse aux spécialistes comme aux entrepreneurs soucieux de la sécurité de leur système, aux collectivités publiques et aux milieux académiques. Les organisateurs attendent 2000 visiteurs de toute la Suisse. DM