Magazine Le Mensuel

Nº 3094 du vendredi 5 octobre 2018

à la Une Temps fort

Cybersécurité. La menace persiste les outils existent

Le 26 septembre dernier, le Parlement a approuvé le projet de loi sur les transactions électroniques et les données à caractère personnel. Attendu depuis des années, le texte est enfin entré en vigueur.

Le texte sur les transactions électroniques voté par le Parlement est inspiré des recommandations de l’Union européenne (UE) et de la convention de Budapest pour la lutte contre les crimes électroniques extraterritoriaux. Le Liban devient ainsi en harmonie avec les lois et traités internationaux face aux donateurs notamment européens de la conférence CEDRE. Désormais, cette loi constitue le socle de la mise en place du gouvernement électronique (e.government). Sur le plan judiciaire local, le vote de la loi contribue à l’unification des jurisprudences des tribunaux, les juges ayant désormais un texte écrit sur lequel ils se basent et évitent toutes contradictions dans leurs verdicts quand il s’agit de trancher des litiges liés à l’informatique. La loi a été adaptée à la situation au Liban, bien qu’il s’agisse au bout du compte de principes généraux internationaux. Elle a légalisé la signature électronique et sa protection techniquement, encadré le commerce électronique, créé le titre électronique de paiement (TEP), le timbre fiscal électronique ainsi que le stockage des preuves électroniques sur le réseau international. Aussi le texte a-t-il mis en place un cadre qui régit légalement les relations des banques et leur clientèle et tout ce qui a trait aux transferts électroniques et aux cartes  de crédit. D’autre part, cette législation a autorisé tout individu qui souhaite recueillir des données personnelles de le déclarer et de les publier. En outre, elle a donné le droit à la personne qui fait l’objet d’un rassemblement de données le concernant d’être informée du contenu, d’y apporter les rectifications nécessaires et de demander l’arrêt de leur circulation après l’écoulement d’un certain temps. La loi a énuméré les crimes dont la répression est impérative dans tous les pays du monde, mettant fin à une époque où la destruction des systèmes informatiques et le vol des comptes bancaires et autres données personnelles étaient impunis au Liban. Le pays du cèdre avait subi en 2012 des attaques virales de grande ampleur, connues sous le nom de Gauss, conçues pour espionner les banques libanaises. Par ailleurs, Khalil Sehnaoui a avoué devant les tribunaux libanais avoir piraté avec deux complices depuis 2013 des données personnelles et d’autres stockées dans les systèmes informatiques de certains ministères. Les trois suspects sont en état d’arrestation.

Le monde entrepreneurial
La médiatisation des cyberattaques et le développement des outils de cybersécurité ont rendu l’opinion publique plus avertie mais aussi plus obsessionnelle. Le numérique s’est installé au sein de nos vies au quotidien. Le monde entrepreneurial n’a pas d’autres options que l’usage de la technologie pour faire aboutir ses projets. Celle-ci a contribué, a priori, à la création d’une nouvelle richesse en renforçant la productivité et l’efficience au sein des compagnies. Cinq des six meilleures sociétés figurant sur la liste du classement Fortune 500 rendue publique le 18 mai dernier, sont des sociétés high-tech à savoir Apple, Alphabet, Amazon, Microsoft et Facebook. Aussi, les concepts de sécurité et de confidentialité ont-ils pris une toute autre dimension dans une industrie de l’informatique asymétrique où les concepteurs des softwares et hardwares maximisent leur fonction-objectif aux dépens des utilisateurs. La préservation de la sécurité n’est pas une simple affaire dans le monde complexe et dynamique des nouvelles technologies où l’innovation est le maître mot. Les experts recommandent fortement aux conseils d’administration des entreprises de se montrer ainsi proactifs et non réactifs dans ce domaine et d’adopter des mesures évolutives appropriées. En effet, des mesures évolutives de sécurisation informatique devraient être mises en œuvre alors que le patrimoine des actifs d’une société est encore gérable. La mise en œuvre d’un tel système ne saurait être considérée comme un coût ou une dépense supplémentaire pour l’entreprise mais un catalyseur voire un vecteur de dopage pour l’amélioration de ses performances.

Pas de sécurité idéale
Citant Charles Darwin, qui estimait que «ce n’est pas le plus fort de l’espèce qui survit, ni le plus intelligent, mais c’est celui qui sait le mieux s’adapter au changement», André Gholam, Pdg de Logica SARL, considère qu’avec le changement du comportement des pirates, avec les nouvelles ressources financières et technologiques à leur disposition, avec l’extension de l’utilisation des nouvelles technologies partout et dans tous les domaines, avec l’utilisation presque en temps réel des réseaux sociaux…, «il est impératif de changer son mode de vie et ses mesures de sécurité pour se protéger». «Il faut savoir s’adapter aux nouveaux défis posés tous les jours», dit-il. Il n’y a pas de sécurité idéale, parfaite et inamovible. Elle doit continuellement se remettre en question, inventer de nouvelles techniques de protection, mettre en place les mesures nécessaires, rendre le piratage plus difficile, plus coûteux, plus complexe, plus risqué pour les hackers». «La protection idéale est celle où le coût de pirater un système est plus élevé que les gains qu’il va engendrer. Pour bien contrer un hacker, il faut savoir se mettre dans sa peau», dit-il.
A la question de savoir si la traçabilité des données personnelles est devenue une démarche banale accessible à tous, de sorte qu’il suffit d’avoir accès au portable du tiers traqué pour le mettre à nu, l’ingénieur informaticien explique qu’«il ne faut pas tomber dans un scénario de schizophrénie relative au manque total de sécurité. Il faut faire la part des choses entre le réel et la fiction. Pirater des données d’un système d’information n’est pas à la portée du premier venu. Bien qu’il y ait des outils, gratuits ou payants, pour cela sur le «Dark net», il faut quand même un minimum de connaissances et de ressources pour pouvoir réussir. D’un autre côté, les mesures de sécurité sont très efficaces et arrêtent de plus en plus d’attaques. Les systèmes de traçabilité pour découvrir les pirates et remonter à la source deviennent aussi très pointus. Quand à un niveau individuel, tel que copier les données d’une carte, voler les données d’un Smartphone quand on est à proximité, c’est évidemment possible, mais pas aussi évident que ce que l’on pense. Là aussi, il faut avoir les outils nécessaires que l’on trouve sur le web. Dans tous les cas, il faut savoir qu’il n’y a jamais de sécurité à 100%. Il y aura toujours une faille quelque part qui profitera aux hackers quand ils la découvriront. Les systèmes ne sont pas parfaits». André Gholam affirme qu’il s’agit d’une course continue et effrénée entre les pirates et leurs attaques qui deviennent de plus en plus sophistiquées d’un côté, et les responsables de la sécurité informatique et de la cybersécurité et les mesures de protection qui deviennent de plus en plus perfectionnés de l’autre».
Evoquant l’expérience du Cloud considérée par certains comme un échec, le fondateur de Logica SARL considère qu’au niveau mondial, l’expérience du Cloud n’est pas un échec. Cette approche permet aux entreprises de se décharger de tout ou d’une partie de leur informatique et de leurs systèmes d’information vers des sociétés spécialisées.
«Les sociétés de service du Cloud ont des moyens techniques, humains, financiers et surtout de sécurité informatique dépassant de loin celles des sociétés utilisatrices dont l’informatique n’est pas le métier principal. Donc, le Cloud pourra mieux protéger les systèmes d’information des sociétés clients que les sociétés elles-mêmes. Il est très complexe et coûteux pour ces dernières de rester à la pointe de la veille technologique et sécuritaire informatique, qui n’est pas leur domaine à la base», dit-il, ajoutant qu’«au Liban, le service Cloud n’est pas encore aussi bien implanté que dans les pays étrangers, principalement pour deux raisons:
● Le service Internet dont la qualité et le prix n’avantagent pas cette implantation.
● La loi du secret bancaire qui pose plein de restrictions aux banques et institutions financières quant au stockage de leurs données relatives aux clients dans un pays tiers.
Prié de dire si le blockchain est la solution de substitut à court terme  qui pourrait bouleverser tout le système informatique, André Gholam déclare que cette nouvelle technologie est des plus prometteuses et des plus importantes qui ont émergé ces dernières années. Les caractéristiques essentielles sont la décentralisation et la distribution des données ainsi que leur sécurité. Cette technologie a été lancée grâce aux monnaies virtuelles (crypto-currencies), principalement le Bitcoin, à partir de 2009, bien que les premières études la concernant remontent à 1992.
Les promesses de l’adoption de la technologie sont grandes. Au niveau sécurité, il sera extrêmement compliqué pour un hacker de pouvoir accéder aux données et/ou de les modifier, car elles sont cryptées. De plus, tous les blocs de données sont reliés entre eux par une chaîne (d’où le nom de blockchain) à travers des hashs (suite de caractères), calculés à partir de ces mêmes données. Un changement des données aboutira automatiquement au changement du hash d’un bloc ce qui cassera la chaîne, car chaque bloc contient le hash du bloc précédent. Le hacker devra alors pouvoir changer tous les hashs de la chaîne pour réussir son coup. Ce qui semble, pour le moment, extrêmement complexe.
Pour citer quelques applications opérant déjà sur cette technologie: les smart contracts, la sharing economy, gouvernance, supply chain, applications gouvernementales (exemple Dubaï). Dans les domaines bancaire, financier et des assurances, rares sont encore les applications métier de base qui reposent sur la technologie blockchain. Cette technologie se développera encore et verra d’autres applications l’utiliser. Elle aura un impact majeur, principalement dans le fait qu’elle élimine ou réduit le rôle des intermédiaires, des back-offices», conclut André Gholam.

Le bouclier de Blom Bank
La banque étant la première ligne de défense pour le client, Antoine Lawandos, directeur général adjoint et directeur des Systèmes d’information à Blom Bank explique à Magazine: «La banque prend très au sérieux tous les risques relatifs au développement rapide des nouvelles technologies et notamment les risques de cybersécurité. Par conséquent, elle met en œuvre des mécanismes de protection très avancés basés sur des technologies de pointe pour parer à ces risques. Nous restons en constante veille technologique concernant les menaces en termes de sécurité informatique et de cybersécurité. Dans ce contexte, nous respectons les directives et régulations émises par les autorités de contrôle locales comme les circulaires de la BDL et les normes de la Commission de contrôle des banques au Liban, en particulier la circulaire 69 relative aux services bancaires électroniques, les circulaires 222 et 144. En plus, nous avons adopté des standards de sécurité internationaux qui assurent, par exemple, la conformité aux normes PCI DSS et GDPR sans être pour autant limités à celles-ci. Conformément aux différentes normes et régulations en matière de sécurité informatique et de cybersécurité, nos ingénieurs procèdent, de façon régulière, à différents tests de sécurité préconisés par les standards et les régulations tout en ayant recours au savoir-faire de compagnies locales et internationales spécialisées en la matière. Nous consacrons pas moins de 20 à 25% de nos efforts, en termes de coûts ou de ressources dédiés au développement et au déploiement des systèmes d’information, pour la protection de nos systèmes et des services relatifs. Ceci dit, nous considérons qu’il faut constamment sensibiliser nos employés et nos clients afin qu’ils soient mieux informés à propos des risques et des bonnes pratiques à adopter pour se protéger contre ces risques sur Internet, et assurer notamment la sécurité de leurs appareils portables tout comme de leur identité en ligne».
Interrogé sur la sécurité des cartes électroniques, le système des OTP, qui semble fragile d’autant que son support, à savoir le Smartphone, apparaît comme le moins sécurisé en termes de données et de contenus, Antoine Lawandos souligne que la banque a mis en place plusieurs mesures visant à garantir la sécurité de ses services de banque en ligne. Elle a adopté une technique d’identification à double facteur. Le premier facteur consiste en ce que le client connaisse son nom d’utilisateur et son mot de passe et le deuxième facteur est basé sur la SIM que le client possède physiquement et qui consiste en un mot de passe utilisable pour une seule fois («One Time Password») envoyé au client par SMS sur son téléphone portable sachant que Google, Hotmail et Amazon proposent aussi un moyen d’identification similaire basé sur le OTP envoyé à l’utilisateur par SMS. De plus, pour mieux protéger ses clients accédant à son service de banque en ligne, Blom Bank offre, prochainement, un moyen de vérification de l’identité de l’utilisateur basée sur une empreinte digitale de son portable et qui pourrait être complétée par son empreinte biométrique, sachant que ce choix sera laissé à la discrétion du client.

La tokenisation
Dès qu’il s’agit des capacités transactionnelles des services offerts en ligne, il est important de noter que tout enregistrement d’un nouveau bénéficiaire et tout mouvement de transfert de fonds initié à partir des services de banque en ligne est soumis à des plafonds tout comme à des contrôles d’identité conventionnels par des moyens non électroniques (out-of-band). Aussi Blom Bank a-t-elle mis en place des techniques de surveillance comportementale (behavioral monitoring) couvrant plusieurs paramètres reliés à l’accès des utilisateurs à ses services en ligne qui lui permettent d’identifier d’une façon transparente des indices de comportement suspects afin de les traiter selon leur sévérité.
«Ceci dit, nous faisons aussi en sorte que nos clients soient au courant des risques présents sur les réseaux Internet comme par exemple les risques résultant du hameçonnage (phishing) qui ciblent directement les utilisateurs de services en ligne», fait remarquer Antoine Lwandos, ajoutant que «nous lançons fréquemment des campagnes de sensibilisation et avons dernièrement mis à jour un guide interne et des présentations à destination de nos employés afin qu’ils puissent être plus avertis pour informer le mieux possible les clients à propos des bonnes pratiques à adopter sur les réseaux Internet».
Pour faire face aux risques associés aux cartes de paiement, Blom Bank a mis en place des technologies de protection et de détection à travers toute la chaîne qui correspond aux transactions de paiement électroniques. Ces techniques comprennent, par exemple, les logiciels de surveillance qui détectent en temps réel, en se basant sur l’analyse comportementale, toute éventuelle fraude commise sur les cartes de paiement. Les cartes à puce ainsi que les messages SMS envoyés lors de toute utilisation de cartes, etc. sont un moyen de prévention et de détection contre la fraude. Toutes les cartes de paiement de Blom Bank sont associées à des plafonds de sécurité qui peuvent être définis en temps réel par le client à travers eBLOM App. Ces plafonds peuvent être définis en relation avec l’utilisation des cartes sur les points de vente et en ligne – ces achats peuvent être bloqués tout le temps et autorisés avant tout achat pour assurer une protection maximale. D’autant plus, il est utile de rappeler que nous adhérons aux normes internationales mises en place par le Conseil des normes de sécurité PCI.
Pour faire face aux fraudes ciblant les ATMs, Blom Bank a mis en place des techniques très avancées d’anti-skimming pour empêcher les malfaiteurs de copier les informations reliées aux cartes de paiement. Les ATMs sont aussi en constante surveillance pour détecter, dans les plus courts délais, toute tentative de skimming.  De plus, la banque a récemment développé un service de paiement mobile – BLOM Pay – offert à travers la eBLOM basé sur le Visa Token Service qui permet la tokenisation des cartes bancaires, sachant que ce service a été soumis à des tests de securité et a reçu des certificats de la part de laboratoires spécialisés en la matière et accrédité par Visa. La tokenisation est le fait d’utiliser un jeton (token), à usage unique, en lieu et place de notre habituel numéro de carte, ce qui rend inutile le vol de données et réduit la fraude car les hackers ne pourront plus fabriquer de fausses cartes à l’aide de ces informations.

IDM pour une autorité
Quant à Samar Khalil, directrice de la gestion du réseau auprès d’IDM, elle a estimé que les fournisseurs de services Internet ont pour principal devoir de protéger leurs clients en protégeant et sécurisant d’abord leur réseau interne. Si le FSI n’est pas bien protégé, le client serait une cible vulnérable pour les pirates informatiques. En tant que fournisseur de services Internet, IDM s’efforce de protéger son réseau et il est également responsable de la mise en service de techniques de sécurité avancées et de l’information du client sur la nécessité de prendre en compte ces services et de les intégrer. Ils font partie du réseau du client. Lorsque le réseau du client relève du domaine de la gestion client, le fournisseur de services Internet doit sensibiliser le public aux menaces à la sécurité et sensibiliser le public aux méthodologies appropriées à mettre en œuvre pour protéger leurs réseaux, notamment en changeant les mots de passe, effectuer des sauvegardes, utiliser les dernières mises à jour logicielles ou cliquer et ouvrir un contenu non approuvé. Les mécanismes de protection fournis varient en fonction du service acheté par le client. En l’absence d’une Autorité de régulation dans le domaine, les efforts déployés pour protéger les abonnés restent individuels et sont considérés pour le moment comme un facteur de différenciation majeur entre les fournisseurs de services Internet, qu’ils soient légaux ou illégaux. Pour ce qui est de la métadonnée (metadata), Samar Khalil souligne que son traitement est «un sujet très sensible et un domaine que nous abordons avec prudence au sein de notre groupe. IDM a une obligation légale vis-à-vis du ministère des Télécommunications, fondée sur une décision rendue en 2013 de conserver tous les journaux de transactions Internet de ses clients pendant un an. Cependant, nous devons faire une distinction claire entre la conservation des journaux et la découverte du contenu de ces journaux».
«IDM a une politique interne qui interdit la communication de tout journal sans une décision de justice signée par le juge. Si, pour une raison quelconque, IDM reçoit une demande d’informations non signée, elle est immédiatement rejetée. Sur un autre plan, et d’un point de vue interne, les journaux sont sécurisés et accessibles par un nombre limité d’ingénieurs pleinement conscients de la sensibilité de ces informations. D’un point de vue éthique, les employés d’IDM sont tenus de respecter la confidentialité de ces informations. IDM assure à ses clients que la confidentialité des métadonnées est pleinement respectée», assure-t-elle.
Samar Khalil souligne l’importance des  stratégies de sécurité d’IDM qui s’articulent autour de trois points: ressources humaines, outils techniques et partenariats. Sur le premier front,  IDM dispose d’une équipe de sécurité dédiée et continuellement formée qui a pour rôle de vérifier les opérations et de mettre en œuvre les meilleures solutions de sécurité internationales. Les solutions techniques sont le deuxième point. IDM a investi et continue d’investir dans des solutions de sécurité de pointe qui lui permettent de détecter, d’informer et de protéger son réseau avec ses clients. A titre indicatif, l’exemple des attaques par déni de service qui ont affecté le réseau d’IDM en juin 2018 illustre bien sa stratégie. Les dommages causés lors de ces attaques auraient pu être catastrophiques si les mesures appropriées n’avaient pas été mises en œuvre. Cela ne signifie pas que des dommages n’ont pas eu lieu. Cela s’est produit mais l’impact de ces dommages a été considérablement réduit car une protection à la pointe de la technologie était déjà mise en œuvre. Il est du devoir du fournisseur de services Internet de s’assurer qu’il est prêt à réagir de manière proactive aux éventuelles failles de sécurité affectant son réseau et ses clients. S’agissant du troisième point, IDM s’est associé à BT (British Telecom) et à d’autres sociétés internationales pour mettre en place les meilleures solutions de sécurité lui permettant de détecter et d’atténuer d’éventuelles attaques ou tentatives de piratage. Les organisations internationales apportent une perspective plus haute nous permettant de comprendre les méthodes utilisées par les pirates informatiques, extraites d’une observation générale faite sur d’autres fournisseurs d’accès à Internet dans le monde. C’est cette compréhension qui est nécessaire de la part des organismes internationaux et qui complète le travail interne réalisé.

Liliane Mokbel

Related

Entre le mauvais et le pire. Prorogation de la tension

Après Hermel, Choueifate. Les kamikazes changent de mode opératoire

Miss Liban 2012. Divines jumelles!

Laisser un commentaire


The reCAPTCHA verification period has expired. Please reload the page.