Cyberattaque contre l’APS : un expert algérien avait mis en garde il y a six ans
L’ancien professeur à l’Ecole militaire polytechnique (ex-Enita) et président de l’Association des opérateurs de télécoms alternatifs (AOTA) appelait, à travers notre site, en mai 2017 déjà, à une «hygiène numérique» pour éviter de subir une attaque comme celle qui a affecté près de 100 pays avec plus de 200 000 en 48 heures. Pour Ali Kahlane, la responsabilité dans le hacking dont avait été victime l’agence de presse officielle APS incombait pleinement aux responsables de cette institution. Près de six ans plus tard, un nouvel acte offensif est mené envers le dispositif informatique de l’APS. Nous republions l’interview de l’expert algérien qui demeure d’une brûlante actualité.
Algeriepatriotique : Qu’est-ce que le virus «ransomware» ? Quelles sont les conséquences de cette attaque sur les pays, les administrations, les banques et les entreprises ?
Ali Kahlane : C’est un logiciel malveillant qui verrouille en les cryptant vos données et tous les fichiers pouvant en contenir. Le premier cas documenté de «ransomware» est apparu en 2005 aux Etats-Unis. Il se répand rapidement, car il est basé sur le paiement d’une rançon qui est exigée directement sur l’écran de l’équipement infecté pour donner accès aux fichiers. D’où son nom en anglais qui se traduit communément en français en «rançongiciel».
Celui qui est à l’origine de l’attaque géante de ce 12 mai et qui a affecté près de 100 pays avec plus de 200 000 attaques en 48 heures est désigné par «WannaCry» ou «WannaCrypt». Il exploite une faille du système d’exploitation Windows par laquelle il infecte tous les ordinateurs sur lesquels il s’installe.
Cette faille, dont le nom de code est «EternalBlue», a été découverte le 14 mars dernier par un groupe qui se fait appeler les «ShadowsBrokers» qui a mis la main sur des outils développés par la NSA. La NSA qui, d’après un tweet du 13 mai de Snowden, développe tout un attirail de création et d’exploitation de ce type de vulnérabilités pour attaquer ou contre-attaquer là où il faut et quand il faut de par le monde.
Cela donne une idée du niveau du risque extrêmement élevé que nous vivons tous. Le but de cet «ransomware» n’était pas d’attaquer un pays particulier, mais tout simplement faire de l’argent en prenant en otage certains ordinateurs en cryptant leurs données. Il se trouve que des hackers ont senti le filon et l’utilisent actuellement pour rançonner leur monde. Et ce n’est pas fini.
Ce qui rend cette attaque redoutable, c’est qu’elle n’a pas besoin d’une action externe pour fonctionner ; elle se multiplie d’elle-même, en sautant d’un PC à un PC, presque à l’infini tant qu’il y a des ordinateurs à infecter.
Il faut toujours essayer d’avoir une connexion protégée ; une connexion VPN.
Quelles en sont les conséquences financières ? Peut-on au jour d’aujourd’hui estimer les pertes en valeur d’une attaque de cette ampleur ?
Les pertes financières peuvent être énormes aussi bien pour de petites entreprises que pour les grandes. Je ne parle pas ici de la rançon de 300 ou de 600 dollars qui est demandée pour débloquer l’ordinateur et décrypter ses fichiers, mais surtout de la non-disponibilité des ordinateurs et serveurs pendant ce temps-là. Une indisponibilité qui peut coûter des centaines de millions si ce n’est des milliards à l’économie nationale, ainsi que des pertes humaines lorsque ces attaques touchent, par exemple, directement les hôpitaux comme cela a été le cas au Royaume-Uni ou lorsqu’elle touche les télécommunications ou encore en France et en Allemagne.
Si, par malheur, le système commercial et de réservation d’Air Algérie – par exemple – s’en trouvait bloqué, cela pourrait coûter à la compagnie quelque 200 millions de dinars (20 milliards de centimes) par jour. Elargissons cela à d’autres entreprises du même acabit, telles que Sonatrach, Sonelgaz ou Cevital, pour ne citer que les plus grosses de nos entreprises, nous dépasserions allègrement le milliard de dinars de pertes.
Est-ce que l’Algérie est touchée ? Si oui, comment cela a été possible ?
D’après les informations que nous avons, ce virus ne semble pas avoir touché l’Algérie, du moins pas autant – et de très loin – que ce qu’il est en train de faire actuellement dans d’autres pays comme la Russie et la Chine, ainsi que quelques autres pays d’Europe notamment, parmi les plus touchés – le Royaume-Uni (son système de santé) et l’Espagne (la compagnie des télécoms Telefonica). Cela a été possible car ce virus, en fait un «ver», est conçu de telle manière à ce qu’il se reproduise et infecte tous les ordinateurs dans lesquels il s’installe en sautant d’un PC à l’autre, peu importe leur position géographique.
A-t-on les moyens de contrecarrer ces attaques ?
Il n’existe qu’une seule méthode pour contrecarrer ces attaques. La prévention et l’hygiène d’utilisation. La prévention consiste en une batterie de procédures, d’une part, et l’utilisation de logiciels ou systèmes de protection, d’autre part. Des antivirus ou, plus généralement, les anti-malwares devront être mis en place en faisant attention à leur mise à jour régulière en ligne, sur tous les ordinateurs et serveurs susceptibles d’être affectés.
Les procédures consistent en particulier à avoir une veille de sécurité pour suivre aussi bien les failles que l’on découvre régulièrement, notamment dans les systèmes d’exploitation que les réparations ; les «patchs» que les éditeurs de ces systèmes publient régulièrement pour les prendre en charge. C’est ainsi que, pour ce virus en particulier, Microsoft a sorti pour lui un «patch» le 14 avril dernier. Il suffit de l’installer sur sa machine pour en être protégé. Le Windows patch identifié par le nom MS17-010 désactive les vulnérabilités du serveur SMB utilisé par cette attaque de «ransomware».
On remarquera que les sites touchés sont ceux dont les ordinateurs comportent un vieux système Windows que les utilisateurs n’ont pas pu ou pas su mettre à jour ou, tout simplement, parce que les mises à jour n’ont pas été effectuées.
Comment se protéger tout simplement ?
Il faut d’abord savoir que la récupération des fichiers cryptés est tout simplement impossible si l’attaquant derrière le «ransomware» ne vous donne pas la clé de décryptage. Vous devez donc, pour éviter la perte de vos données, en premier lieu, en pratiquant, comme je l’ai dit, une bonne «hygiène numérique». Il faut faire attention à ne pas se laisser appâter par les deux armes favorites des pirates qui sont l’ingénierie sociale et l’hameçonnage (phishing).
– Il ne faut jamais cliquer sur un lien sans en être sûr.
– Il ne faut jamais installer de logiciel, de plug-ins ou extensions à moins que vous ne connaissiez sa provenance d’une source fiable. En cas de doute, abstenez-vous ! Evitez les clefs USB comme la peste, n’en utilisez aucune dont vous n’en soyez pas sûr.
– Il faut mettre à jour votre logiciel ainsi que votre système d’exploitation, vos navigateurs Web et autres logiciels installés d’une manière régulière. Il faut toujours vous assurer que vous utilisez la dernière version avec toutes les réparations de failles convenablement effectuées.
Et, surtout, il faut sauvegarder ! Tous les documents importants doivent être traités comme vos biens les plus précieux. Utilisez plusieurs clefs USB ou un disque dur amovible pour faire des sauvegardes quotidiennes ou hebdomadaires. Cela dépend de la taille, de l’importance et de la périodicité de la mise à jour ou la modification de vos données.
– Il ne faut jamais laisser vos clefs USB ou les disques amovibles connectés car les codes malveillants peuvent les scanner.
– Il faut aussi avoir plusieurs sauvegardes de vos données pour vous prémunir de tout chantage. De plus, cela vous préserve de toute perte de données pour quelque raison que ce soit.
Que pensez-vous de la récente attaque du site de l’agence de presse officielle APS ?
L’attaque du site de l’APS est pratiquement un cas d’école. Beaucoup ont expliqué que la vulnérabilité du site venait du fait qu’il était hébergé à l’étranger et la preuve en était que les sites régionaux de l’APS, en l’occurrence, Oran, Constantine et Ouargla, n’avaient, eux, pas été inquiétés parce qu’ils étaient bel et bien hébergés en Algérie.
En fait, le site de l’APS aurait pu être attaqué exactement de la même manière avec les mêmes résultats même s’il avait été hébergé en Algérie. Cela pour au moins deux raisons. La première en est que c’est une faille dans le système d’exploitation Linux qui avait permis au hackeur de pénétrer le système – notamment à travers la page de la WebTV. La seconde raison est que le hackeur voulait manifestement attaquer le site principal, car tout le trafic y transite, ce qui lui était normal, ce qui est beaucoup plus intéressant pour assurer une bien meilleure couverture médiatique.
Maintenant, nous sommes en droit de nous demander pourquoi cette faille de sécurité du noyau (kernel) de Linux qui était connu depuis octobre 2016 n’a pas été corrigée pour éviter ce hacking à répétition.
La raison est que le serveur qui avait été utilisé pour l’hébergement était dédié, donc géré directement et à distance par l’APS. C’est à l’APS seule qu’incombait les mises à jour du système ainsi que l’éventuelle réparation des failles détectées et documentées ou pas. L’hébergeur n’ayant, par définition, pas accès au serveur – car dédié –, il n’a aucune vue, ni responsabilité de ce qui pourrait lui arriver.
Où se situe l’Algérie dans la lutte contre la cybercriminalité ? Combien dépense notre pays dans cette lutte ?
La montée dans l’utilisation des smartphones et, surtout, l’avènement de la 3G et la 4G en l’espace de trois ans ont rendu l’Algérie beaucoup plus vulnérable à tout point de vue aux attaques, d’une part, et à une utilisation inappropriée de l’Internet, d’autre part. Ceci, notamment, au moyen des réseaux sociaux qui sont capables du meilleur et, bien sûr, du pire, tout comme le ferait un simple couteau de cuisine. Mais nous avons besoin des deux.
Nous nous réveillons à la cybersécurité et aux statistiques qu’engendre le cybercrime comme n’importe quel autre pays dans le monde. Avec une pénétration à Internet de 44% et plus de 13 millions de connectés par jour, nous sommes définitivement dans le concert des nations quant à l’utilisation de l’Internet.
Les chiffres que publient les services de sécurité, aussi bien la DGSN que la Gendarmerie nationale, montrent bien que nous ne sommes plus au niveau de la sensibilisation des troupes ou à citer les quelques cas que peuvent reprendre telles ou telles autres sources en mal de statistiques.
D’après tous les chiffres qui remontent et qui sont publiés, aussi bien par la presse que ceux communiqués dans les différentes conférences ou rencontres professionnelles, une lutte de tous les jours est menée par ces services, et les résultats semblent aller dans le bon sens et devront très certainement concourir à plus de sécurité sur le Net. Si, bien sûr, la prévention est bien comprise, les règles bien apprises et convenablement appliquées à tous les niveaux.
Interview réalisée par L. S.
Comment (13)