Comment lutter le plus efficacement possible contre le piratage ? © Denys Rudyi - Fotolia.com
Pour déterminer la meilleure manière de se protéger, encore faut-il savoir quelles données l’on héberge. Car l’intérêt pour un cyber-activiste est d’exploiter les données qu’il va récupérer.
Reza Elgalai, enseignant à l’UTT sécurité informatique, distingue bien les attaques sur les offices de tourismes menées ces derniers jours et celles qui se font en dehors du contexte de la cyber-guerre initiée par Anonymous.
« Il y une différence entre un vol de données et une défiguration. Cette dernière change la face d’un site, la page d’accueil généralement. Il s’agit de perturber le site et les visiteurs. »
Reza Elgalai, enseignant à l’UTT sécurité informatique, distingue bien les attaques sur les offices de tourismes menées ces derniers jours et celles qui se font en dehors du contexte de la cyber-guerre initiée par Anonymous.
« Il y une différence entre un vol de données et une défiguration. Cette dernière change la face d’un site, la page d’accueil généralement. Il s’agit de perturber le site et les visiteurs. »
Comment est-ce que cela fonctionne ?
Autres articles
Il n’est pas rare qu’un site ne soit pas sous la dernière version de son logiciel, ou correctement mis à jour.
Plus le programme est vieux, plus il est obsolète.
Reza Elgalai explique, par exemple, que des plateformes comme Wordpress sont assez simples à pirater pour les activistes.
Il leur suffit de lancer un scanner automatique qui repère un site fragile, et en fonction de sa version, détermine la meilleure manière d’attaquer.
« Ce que veulent les hackers, c’est être vus », confirme Christelle Taillardat, la directrice du Comité département de tourisme de l’Aube.
« Sur un site d’office de tourisme, un site "institutionnel", il y a beaucoup de trafic. Il n’y a pas d’informations sensibles.
En revanche, il y a les CRM qui abritent beaucoup de bases de données clients. »
Or aujourd’hui, les CRM sont gérés par des SAAS, hébergés à l’extérieur de l’entreprise et voyagent avec les outils d’emailing.
Pire, « tout peut passer via le Cloud », ajoute Christelle Taillardat. « Ces données peuvent être réutilisées pour des usurpations d’identité. »
Plus le programme est vieux, plus il est obsolète.
Reza Elgalai explique, par exemple, que des plateformes comme Wordpress sont assez simples à pirater pour les activistes.
Il leur suffit de lancer un scanner automatique qui repère un site fragile, et en fonction de sa version, détermine la meilleure manière d’attaquer.
« Ce que veulent les hackers, c’est être vus », confirme Christelle Taillardat, la directrice du Comité département de tourisme de l’Aube.
« Sur un site d’office de tourisme, un site "institutionnel", il y a beaucoup de trafic. Il n’y a pas d’informations sensibles.
En revanche, il y a les CRM qui abritent beaucoup de bases de données clients. »
Or aujourd’hui, les CRM sont gérés par des SAAS, hébergés à l’extérieur de l’entreprise et voyagent avec les outils d’emailing.
Pire, « tout peut passer via le Cloud », ajoute Christelle Taillardat. « Ces données peuvent être réutilisées pour des usurpations d’identité. »
Alors comment se protéger efficacement ?
Tout d’abord, ne pas oublier les essentiels : un antivirus à jour, des mots de passes complexes, et des pare-feux pour filtrer les contenus entrant et sortant.
Il est important d’utiliser que des logiciels bien connus, mais surtout suivis et maintenus.
Il faut également externaliser l’hébergement chez un vrai professionnel, avoir un gestionnaire pour diriger les alertes, et plusieurs serveurs, qui puissent prendre le relais si l’un d’eux est attaqué.
Pour Reza Elgalai, il est également important de sensibiliser les entreprises et les employés : « Ils n’ont pas forcément conscience de ces enjeux. Il faut faire de la formation et de la prévention ».
Ce n’est pas le cas à l’office de tourisme de l’Aube : « Nous avons mis en place un système pour identifier les touristes qui se connectent à nos bornes wifi gratuites.
La personne doit nous donner son numéro de téléphone ou une carte d’identité à l’accueil. Comme ça nous pouvons les retrouver s’il y a un acte de piratage », explique Christine Taillardat.
« Car l’essentiel est de surveiller. Il ne faut pas l’oublier : aucun système n’est inviolable. »
Il est important d’utiliser que des logiciels bien connus, mais surtout suivis et maintenus.
Il faut également externaliser l’hébergement chez un vrai professionnel, avoir un gestionnaire pour diriger les alertes, et plusieurs serveurs, qui puissent prendre le relais si l’un d’eux est attaqué.
Pour Reza Elgalai, il est également important de sensibiliser les entreprises et les employés : « Ils n’ont pas forcément conscience de ces enjeux. Il faut faire de la formation et de la prévention ».
Ce n’est pas le cas à l’office de tourisme de l’Aube : « Nous avons mis en place un système pour identifier les touristes qui se connectent à nos bornes wifi gratuites.
La personne doit nous donner son numéro de téléphone ou une carte d’identité à l’accueil. Comme ça nous pouvons les retrouver s’il y a un acte de piratage », explique Christine Taillardat.
« Car l’essentiel est de surveiller. Il ne faut pas l’oublier : aucun système n’est inviolable. »