Comment les pirates volent les données des PME

"Les PME sont les principales cibles des pirates informatiques", affirme Guillaume Vassault-Houlière, hacker connu sous le pseudonyme "Freeman" et membre du comité d'organisation de la Nuit du Hack, dont l'édition 2013 a eu lieu le 22 juin à Disneyland Paris. Contrairement aux idées reçues, les vols de données informatiques touchent plus souvent les petites entreprises que les grands groupes. Et les raisons sont nombreuses : "Aujourd'hui, les innovations viennent surtout des PME. Leurs données valent cher !", explique l'expert. Par ailleurs, les petites structures investissent principalement dans leur coeur de métier et négligent, malheureusement, leur sécurité.

Si les pirates s'attaquent aux entreprises, c'est pour plusieurs raisons. Ils peuvent être missionnés par un concurrent direct. Chercher des informations spécifiques pouvant être revendues (formules moléculaires, techniques de fabrication industrielles, fichier clients, etc.).

Ou bien, tout simplement, être opportunistes: "Les numéros de carte bancaire d'entreprise ou les numéros de Sécurité sociale des salariés peuvent être revendus au marché noir", prévient Guillaume Vassault-Houlière. En effet, il existe des "black markets", c'est-à-dire des sites dissimulés sur la Toile, où l'on peut engager des pirates, voire revendre des données confidentielles.

L'art de la manipulation

Au final, quelles sont les techniques utilisées par les pirates pour s'introduire dans votre réseau informatique ?

Elles peuvent être classées en deux catégories : les intrusions purement techniques et l'exploitation des failles humaines. De fait, certaines entreprises, notamment les TPE, protègent très mal leur réseau informatique. Des hackers peuvent alors s'introduire via une connexion Wifi non sécurisée, par exemple. Pire. Le réseau est parfois connecté directement à Internet. Du pain bénit pour les pirates. "Une entreprise qui n'a pas les moyens d'embaucher un directeur du système d'information (DSI), ou ne passe par un prestataire informatique pour sécuriser son réseau, joue avec le feu", prévient Guillaume Vassault-Houlière.

Toujours dans le même registre, si une société ne bénéficie pas d'un antivirus qui scanne les e-mails entrants, les pirates peuvent facilement infester le réseau grâce à un cheval de Troie. Concrètement, ils envoient un e-mail générique, le plus souvent accrocheur, à tous les salariés de l'entreprise en espérant que quelqu'un ouvre la pièce jointe contenant un virus. Si un collaborateur tombe dans le piège, les pirates ont alors accès à l'intégralité du réseau informatique de l'entreprise.

Ici, la faille est à la fois technique et humaine. "Il est important de sensibiliser les salariés aux risques d'intrusion informatique. Cela passe par la formation ou bien, pourquoi pas, par une participation à la Nuit du Hack. Notre but est d'informer les néophytes sur les risques qu'ils encourent", prône Guillaume Vassault-Houlière. Car les pirates les plus malins sont finalement des as de la manipulation.

Ils mettent au point des scénarios pour obtenir des informations qui leur permettront d'avoir accès aux données convoitées. Les ruses les plus courantes : attaquer le site Internet d'une entreprise pour le rendre indisponible. Puis se faire passer pour le prestataire informatique afin d'entrer dans les locaux et se connecter au réseau.

Plus vicieux encore. Appeler la secrétaire de direction et jouer le rôle de l'Urssaf, ou tout autre organisme public. "C'est incroyable le nombre d'informations que l'on peut obtenir sur une entreprise en mettant uniquement la pression par téléphone", explique le hacker. Ces informations sont utilisées, par la suite, pour en obtenir d'autres et pouvoir, in fine, voler les données confidentielles de votre société. La seule parade : la sensibilisation, en amont, aux risques encourus.