Des "radars" développés pour repérer ou prévenir les cyberattaques

Swisscom, Sunrise et Salt, tout comme des centaines d'autres opérateurs dans le monde, ont été touchés par le piratage d'iBasis, une société basée aux Etats-Unis.

Révélée cette semaine par Le Temps, cette cyberattaque n'a pas été annoncée au grand jour par les victimes. C'est un radar qui l'a repérée, ou plutôt un programme informatique développé par l'entreprise américaine de cybersécurité, HackNotice, pour scruter le réseau et le darknet à la recherche d'indices.

Des "radars" comme ceux-là, il en existe de plus en plus. "Ils servent à détecter par exemple des attaques ou à déceler éventuellement des vulnérabilités, pour essayer de remédier à une attaque, ou essayer de l'éviter", explique Eduardo Solana, chargé de cours au Centre universitaire d'informatique de l'Université de Genève, dans le 19h30.

Ces cartes, qui foisonnent sur internet et sur lesquelles on peut voir des attaques en temps réel, sont réalisées grâce aux informations détectées par les sociétés de sécurité informatiques. "C'est souvent une fenêtre d'observation qui nous permet de voir certaines attaques, mais beaucoup d'incidents passent évidemment sous leur radar", souligne le docteur à l'UNIGE.

Repérer les vulnérabilités graves

A Berne, l'entreprise Dreamlab, spécialisée dans la cybersécurité, revendique la création du premier radar suisse, en 2010. "Notre radar scanne toutes les adresses IP mondiales pour chercher des vulnérabilités. Concrètement, on interagit avec les serveurs et les services. De ces interactions, on apprend les niveaux de vulnérabilité de ces services exposés sur internet", expose Nicolas Mayencourt, le fondateur et directeur de l'entreprise.

Ce radar scanne en continu 20 millions d'adresses IP en Suisse. Et le constat est accablant. Plus de 113'000 vulnérabilités graves et connues ont été repérées par leur programme informatique. C'est trois fois plus qu'en 2019, avant la mise en place généralisée du télétravail. Mais selon lui, la fragilité des systèmes n'a pas diminué, malgré un retour progressif à la normale.

"Des vulnérabilités graves, cela veut dire qu'un serveur peut être piraté par un criminel. Et connues signifie que la vulnérabilité est publiée. Donc on peut facilement trouver sur internet comment cela fonctionne. On peut même télécharger un outil pour utiliser la vulnérabilité. Donc, c'est très grave", souligne Nicolas Mayencourt.

Pas d'intrusion

Chaque vulnérabilité est considérée comme une invitation à un criminel d'entrer. Que faire ensuite de ces données? "Nous avons créé ce système avec l'intention de minimiser toutes les surfaces d'attaque et d'éliminer toutes les vulnérabilités, en donnant à chacun la visibilité sur son niveau de risque", répond le directeur bernois.

Mais l'entreprise active dans une quinzaine de pays a dû apprendre à composer avec le culte de la discrétion helvétique. "Dans la plupart des pays, les gens nous ont dit merci. Mais en Suisse, des entreprises nous ont envoyé des menaces à travers leurs avocats pour que nous cessions de mesurer leur adresse IP, comme le fait Google d'ailleurs. Je pense qu'il y a, en Suisse, un problème d'infrastructure et de sensibilisation à cette problématique", déplore Nicolas Mayencourt.

Légalement, ce radar respecte pourtant la protection des données. Le système fonctionne de la même manière qu'une personne marchant dans la rue et qui compterait les portes et les fenêtres qu'il y a dans les maisons. "Nous ne les ouvrons pas, nous ne faisons que constater l'existence de la vulnérabilité, sans effectuer une intrusion percée", précise-t-il.

Limité par la sphère privée

Pour l'heure, ce radar ne voit que les failles de sécurité. Pour identifier les attaques en temps réel, il faudrait pouvoir surveiller les flux du réseau. Or, seul le gouvernement ou une société opérant sur le réseau pourrait y avoir accès.

Interrogé, le Département fédéral de la défense assure qu'une "détection systématique et sans soupçon d'attaques impliquant une surveillance du trafic réseau n'existe pas, car elle serait incompatible avec les bases légales actuelles en matière de protection des données".

Pour Nicolas Mayencourt, chaque pays devrait pouvoir surveiller son espace numérique, de la même manière qu'un radar aérien.

Des adversaires professionnels

Eduardo Solana, qui peine à appeler ces systèmes de surveillances des "radars", pense que cet ensemble de technologies a sa place dans une stratégie de sécurité informatique, que ce soit pour une société, un Etat ou même pour un individu. Mais selon lui, il faut faire preuve d'humilité face à la complexité du cyberespace.

"Les attaques sont de plus en plus professionnelles. Notre adversaire, ce n’est plus un adolescent dans un garage qui cherche la gloire. C'est une société qui génère des centaines de millions de dollars avec des outils comme du ransomware", insiste le spécialiste de l'UNIGE.

Pour y faire face, l'intelligence artificielle améliorera, selon lui, les performances des radars dans la surveillance du cyberespace.

Feriel Mestiri