Les Secrets de Saint Pierre

Plus d’un milliard d’internautes touchés par l’attaque de pirates russes
Les Echos du 6 août 2014
Nicolas Rauline

Il s’agit du plus grand vol de données personnelles jamais réalisé. Les conséquences sont encore incertaines, mais 420.000 sites ont été piratés.

Ils ne seraient qu’une dizaine, auraient à peine 20 ans et ont pourtant réussi à pirater 1,2 milliard d’identifiants et de mots de passe, issus de tous types de services Internet et répartis dans le monde entier, ainsi que 500 millions d’adresses e-mail. Ce serait ainsi le piratage le plus vaste de l’Histoire. Ce groupe de pirates aurait été localisé dans le sud de la Russie, non loin des frontières avec le Kazakhstan et la Mongolie, mais n’aurait pas de lien avec le gouvernement russe. Il y a néanmoins peu de chances de les voir, un jour, inquiétés : historiquement, la Russie poursuit peu, voire pas du tout, ses pirates informatiques...

On ignore encore quels services ont été touchés mais l’éventail des sites serait large : 420.000 au total, allant de grands réseaux sociaux, sites de e-commerce et services de Webmail à de petits sites locaux, selon la société de sécurité informatique américaine Hold Security, qui a rendu l’affaire publique. Les méthodes utilisées par les pirates seraient très classiques : ils auraient utilisé des ordinateurs infectés, via des robots, pour tester la vulnérabilité des sites, avant de récupérer les bases de données des services infectés. Ces attaques se sont multipliées ces derniers mois , mais l’ampleur de l’opération a surpris les observateurs.

Conséquences incertaines
Les conséquences sont également difficiles à évaluer. D’après Hold Security, de nombreux services piratés seraient toujours vulnérables. Changer tous ses mots de passe pourrait ainsi se révéler inutile : si les failles existent encore, les pirates n’auraient alors aucun mal à récupérer les nouveaux mots de passe. Et ils pourraient très bien avoir déjà vendu les données sur le marché noir, où elles peuvent valoir très cher. « Les identifiants et mots de passe d’e-mail, par exemple, sont très recherchés car les pirates peuvent causer beaucoup de dégâts à partir d’une seule adresse et récupérer d’autres informations », affirme Candid Wuest, chercheur en menaces informatiques chez Symantec.

Pour l’instant, peu de solutions ont donc été apportées au problème. Les spécialistes conseillent toujours d’adopter des mots de passe complexes et de protéger l’ensemble des terminaux. « Les mobiles et les tablettes, ce sont les ordinateurs d’il y a dix ans, dit Candid Wuest. Ils ont les mêmes capacités mais sont très peu protégés par leurs utilisateurs. Or on constate une envolée des attaques les ciblant, d’autant qu’ils concentrent des informations essentielles. » Selon le rapport Norton 2013, 48 % des utilisateurs de smartphones et tablettes ne prendraient pas de précaution (mots de passe de blocage, installation d’un logiciel de sécurité) pour protéger leur terminal.

Certains en appellent déjà à la fin de l’ère du mot de passe et invitent les géants du Net à adopter de nouveaux moyens d’identification. Certains ont mis en place un système de double authentification, envoyant un code au mobile de l’utilisateur quand celui-ci se connecte à leur service. D’autres solutions permettent de générer un nouveau mot de passe lors de chaque connexion, sans que l’utilisateur n’ait à s’en souvenir, à partir d’un compte unique et d’un « mot de passe maître » (SplashID, DirectPass ou encore le français Dashlane )

L'enjeu de l'identité numérique des internautes
Les Echos du 11 août 2014
de Fabrice Mattatia

Selon une étude publiée en 2011, la généralisation d'outils permettant au grand public de prouver son identité en ligne et de signer électroniquement un document sur Internet engendrerait chez les fournisseurs de services (banque, assurance, crédit à la consommation, jeux en ligne, e-commerce) un gain de productivité de 1 milliard d'euros par an, en remplaçant les contrats papier par des contrats électroniques (par exemple la signature en ligne d'un acte notarié).

Le mot de passe, qui constitue le moyen d'identification le plus répandu, est notoirement insuffisant pour atteindre le niveau de sécurité requis : il ne permet ni de garantir véritablement une identité ni de signer (notamment en « figeant » les termes du document approuvé).

La solution longtemps envisagée pour équiper les internautes en outils de signature électronique était le certificat électronique. Celui-ci, remis après vérification d'identité et associé à un code secret, permet de garantir l'identité de son utilisateur. C'est d'ailleurs la technologie que nous utilisons quotidiennement dans notre carte bancaire, où il sert justement à « signer » la transaction. Toutefois, la distribution des certificats a un coût, dû à l'obligation de vérifier l'identité de la personne à qui on le remet, et à la nécessité de le loger dans une puce sécurisée. On peut estimer le coût d'un certificat (valable plusieurs années) à une dizaine d'euros par internaute. Il s'agit là du coût de revient ; le prix de vente pourra être différent selon la politique commerciale de l'émetteur. Il pourra être offert à titre de service, inséré dans un pack payant, ou vendu séparément.

Mais les internautes, pour simplifier leur navigation, préfèrent l'identification via les services qu'ils utilisent quotidiennement, par exemple les systèmes de paiement en ligne ou les réseaux sociaux. Ainsi, Facebook Connect est accepté par plus de 7 millions de sites dans le monde et est utilisé dans 80 % des applications mobiles pour créer un profil. PayPal est officiellement accepté comme moyen d'accès par l'administration électronique britannique. Les géants américains du Web, Facebook Connect et les services similaires (Google Account, Yahoo! ID…), qui disposent de centaines de millions d'utilisateurs quotidiens, peuvent ainsi proposer aux internautes, à coût marginal nul, un service de propagation d'identité simple, ergonomique, efficace et gratuit, même si la garantie d'identité ainsi offerte n'est pas très élevée (Facebook ne vérifie pas l'identité de ses membres).

Par ailleurs, on voit apparaître, chez les prestataires capables de mieux vérifier l'identité réelle de leurs clients, une stratégie visant à proposer une identité numérique offrant plus de garanties. PayPal, déjà cité, peut garantir la liaison de son client avec un compte bancaire. Apple peut également relier un client avec un compte AppStore et éventuellement avec un abonnement mobile iPhone. Ces prestataires disposent ainsi d'une identité numérique « qualifiée », et peuvent la monétiser en proposant à des sites tiers d'assurer pour eux la vérification en ligne de l'identité de l'internaute. Microsoft Azure et Google + Sign-In se lancent à leur tour sur ce marché en développant chacun un système de double authentification par mot de passe et SMS (avec, donc, un contrôle lié à la possession d'un mobile).

En France, l'Etat avait soutenu en 2010 le projet IDéNum qui visait à faire équiper les internautes par des acteurs privés français. Mais IDéNum n'a pas été concrétisé et l'avance prise par les grands acteurs américains du Web est désormais telle, grâce à la masse de clients qu'ils gèrent et au nombre de sites Web qui ont pris l'habitude de travailler avec eux, qu'il semble trop tard pour qu'un projet concurrent français ait des chances de succès et de rentabilité. Seule une action volontariste de l'Etat pourrait permettre de conserver une souveraineté nationale sur l'identité des internautes.

Fabrice Mattatia

Fabrice Mattatia est ingénieur en chef des Mines, docteur en droit, auteur de « Traitement des données personnelles - le guide juridique », Eyrolles, 2013 et de « Loi et Internet », Eyrolles, 2014.