Entretien avec Jake Moore : “Personne ne s’attend à être piraté un jour !”

Commençons par le côté obscur, dirons-nous. Puisque vous essayez constamment de rendre la vie des pirates informatiques plus difficile, vous devez donc constituer une cible très attrayante pour beaucoup d’entre eux. Avez-vous déjà été piraté ? 

C’est exact ! Mais je n’ai jamais été piraté. Ou du moins je ne le pense pas. Mais quelqu’un a essayé de dupliquer mon compte Instagram et a commencé à envoyer des messages à des gens, en se faisant passer pour moi. Et le pire, c’est que l’une des personnes avec qui le pirate a dialogué était un de mes collègues. Il a tellement mené mon collègue en bateau que la conversation était vraiment drôle. J’en ai fait des captures d’écran. Bien que je n’aie jamais été victime d’une cyberattaque, je suis bien conscient que je pourrais l’être. Je suis très prudent, je fais attention aux liens sur lesquels je clique ainsi qu’aux pièces jointes des emails, etc. 

Ça ressemble à une approche du type « espérer le meilleur, mais s’attendre au pire ». 

Tout à fait. Parfois, mon épouse trouve même que je suis plutôt malpoli au téléphone, mais je suis tout simplement prudent avec les appels non sollicités et je me méfie de chaque situation. Si seulement plus de PME se comportaient également ainsi ! Malheureusement, elles ont tendance à penser que rien ne peut leur arriver, ce qui est évidemment un peu exagéré. Tout le monde peut devenir une cible. Les petites entreprises estiment parfois que les cybercriminels préfèrent s’en prendre aux grands acteurs de l’économie, mais en fait, il est beaucoup plus facile de pirater 100 petites entreprises que d'attaquer une seule grande société. 

Pendant 14 ans, vous avez travaillé pour la police du Dorset au Royaume-Uni, en vous spécialisant dans les enquêtes sur la cybercriminalité. Est-ce que vous résolviez également des cas liés aux PME ? 

Il m’arrivait souvent d’être en contact avec des tas d’entrepreneurs individuels et d’entreprises comptant moins de 50 salariés. Elles n’avaient généralement aucune idée de leur vulnérabilité réelle. Elles pensaient souvent qu’elles n’avaient pas la capacité financière de mettre en œuvre une solution de cybersécurité, alors qu’il existe des moyens peu coûteux, voire gratuits, de protéger une entreprise. Lorsque je leur donnais des conseils de base, notamment la recommandation d’utiliser l’authentification à deux facteurs, elles demandaient souvent : « C’est quoi ? Ça a l’air cher. » Elles préféraient laisser les fenêtres grandes ouvertes aux attaques. Pour beaucoup d’entre elles, ça a été une erreur “fatale”. 

Dans un article récent, vous avez expliqué comment vous vous êtes infiltré dans le réseau d’un luxueux club de golf en vous faisant passer pour Jack, l’assistant d’un producteur de télévision. Et vous avez réussi. Le personnel vous a même laissé seul avec les appareils de l’entreprise, vous permettant potentiellement d’exploiter la totalité du réseau. Qu’est-ce qui aurait dû être fait différemment de leur côté ?   

Tout d’abord, ils auraient dû me demander une pièce d’identité, en particulier en passant derrière le comptoir, pour ainsi dire, avec l’objectif d’insérer une clé USB dans leurs machines. C’est une erreur de sécurité élémentaire. Mais comme je m’étais présenté au club de golf une semaine auparavant en leur disant à quel point leur parcours était charmant, ce qui était évidemment très flatteur pour eux, ils pensaient me connaître déjà et me faisaient confiance. Je ne m’attendais pas non plus à voir une machine Windows XP (le système d’exploitation XP n’est plus pris en charge depuis 2014), qui s'est même avérée être connectée au terminal de point de vente... Une autre erreur désastreuse. Ces machines peuvent être attaquées à distance. Les appareils auraient dû être équipés du tout dernier système d’exploitation. De nombreuses PME utilisent leurs appareils avec des systèmes obsolètes, car elles pensent qu’il est inutile de réparer ce qui n’est pas cassé. Ce club de golf stocke d’énormes quantités de données, principalement de personnes très riches, qui pourraient potentiellement valoir beaucoup d’argent. C’est donc très tentant pour les pirates.  

Ces attaques cyber-physiques sont-elles une stratégie courante des cybercriminels ? 

Particulièrement avant la pandémie, beaucoup de criminels tentaient d’entrer physiquement dans des bases de données, en se faisant parfois passer pour un ouvrier ou un postier. Aujourd’hui, ce n’est plus aussi facile car il y a moins de monde dans les bureaux et il est plus difficile pour les pirates de se faire passer pour quelqu’un d’autre. Mais j’ai le sentiment que lorsque les gens commenceront à revenir au bureau, de telles menaces pourraient refaire surface plus souvent. Les cybercriminels se déguiseront en utilisant un alibi valable pour cacher encore davantage leur identité. La cybersécurité et la sécurité physique doivent être appliquées en même temps. Empêcher une attaque de se produire est une bien meilleure stratégie que d’en gérer les conséquences.  

Certaines entreprises ont recours à la cyberassurance. Pouvez-vous nous en parler ? 

C’est malheureusement parce qu’elles disposent de cette couverture qu’elles estiment pouvoir négliger la prévention. Ce n’est pas comme si vous aviez assuré votre voiture et que vous récupériez votre argent en cas d’accident. La cybercriminalité ne fonctionne pas de cette façon. Lorsqu’une donnée numérique est volée, elle peut être multipliée et se répandre dans le monde entier. Ainsi, même si les coûts de l’attaque sont couverts par la compagnie d’assurance, vous pouvez perdre des affaires et des revenus. C’est la raison pour laquelle vous ne devriez pas vous fier uniquement à la cyberassurance. La stratégie optimale est de stopper le problème avant même qu’il n’apparaisse. Je consacrerais davantage d’argent à la prévention d’une attaque plutôt que de m’intéresser uniquement au coût de l’assurance. Certaines compagnies d’assurance paient même la rançon en cas d’attaque de ransomware, finançant ainsi directement l’ensemble du cycle économique des cybercriminels.  

Je pense qu’il est au moins possible d’augmenter le nombre de personnes en les sensibilisant aux facteurs d’attaque. Néanmoins, les entreprises ne seront jamais imperméables à 100 % et je pense qu’il faut l’accepter. Il y aura toujours des gens qui feront des erreurs... Mais aujourd’hui, le nombre de personnes vulnérables est beaucoup trop important. À mon avis, les personnes sensibilisées aux questions de cybersécurité ne représentent qu’une partie relative des effectifs. Vous n’imaginez pas combien de personnes utilisent encore le même mot de passe pour plusieurs comptes !  

Est-il possible d’éduquer les gens sans les effrayer ? 

C’est l’objectif que j’essaie d’atteindre dans mes articles et mes activités de sensibilisation. J’ai décidé de faire de l’humour, parce que je pense que si le contenu est ludique, les gens continueront de le lire, et si j’arrive à le rendre quelque peu éducatif, alors j’ai fait mon travail. Lorsque j’ai commencé à enseigner la sécurité, les gens disaient qu’ils en avaient déjà assez d’entendre les mêmes conseils encore et encore. Je me suis donc demandé : est-ce qu’ils ont déjà lu une histoire vraiment personnelle et accrocheuse ? Certainement pas. Alors, j’ai commencé à en écrire. Quand les gens viennent me dire qu’ils ont lu mon article et qu’ils ont commencé à s’intéresser à la cybersécurité, j’en suis très fier. L’enseignement doit être amusant, divertissant et court. Les vidéos d’instruction de six heures sur la cybersécurité ne fonctionnent pas. 

Pensez-vous que la série télé populaire Mr. Robot pourrait également être un bon support pédagogique ?  

Un excellent même ! J’ai adoré et c’est véridique : les gens pourraient en apprendre encore davantage. Ils pourraient se rendre compte à quel point il est facile de pirater un appareil, et que tous les pirates ne vivent pas dans une cave avec un sweat à capuche. Il peut s’agir de n’importe lequel d’entre nous.  

Vous avez piraté plusieurs entreprises. Est-ce qu’un modèle de défense s’est particulièrement distingué, qui pourrait être considéré comme étant totalement à l’abri de vos tentatives ? 

Honnêtement ? Non. J’ai obtenu exactement ce que je voulais à chaque fois. Mais j’ai un rêve : J’ai toujours voulu braquer (éthiquement) une banque. J’ai même supplié la Banque d’Angleterre de tenter de faire quelque chose avec son réseau. Ils ont dit « pas question ». Donc, j’ai au moins demandé si je pouvais voler un stylo. 

Ils vous ont laissé faire ? 

Non, ils m’ont dit de le remettre à sa place. Quoi qu’il en soit, je n’ai pas abandonné l’idée. Parce qu’un jour, j’ai bien l’intention d’écrire un billet de blog intitulé : voilà comment braquer une banque.  

Jake Moore, Cyber Security Specialist et porte-parole chez ESET 

Jake a travaillé pendant 14 ans pour la police du Dorset au Royaume-Uni, où il enquêtait principalement sur la cybercriminalité au sein de l’unité de criminalistique numérique, sur des délits allant de la fraude jusqu’aux disparitions d’enfants. Pendant cette période, en utilisant les techniques autorisées par la loi, il a appris à récupérer des preuves sur des appareils afin d’aider à protéger les victimes contre la cybercriminalité. Il est ensuite devenu consultant en cybersécurité pour les forces de police, dispensant des conseils sur-mesure au public, aux écoles et aux entreprises locales dans le but d’aider la communauté et de renforcer ses connaissances en matière de sécurité. C’est également un passionné de surf. Existe-t-il un parallèle entre le surf et le cyberespace, les deux domaines qui le passionnent ? « Vous ne pouvez jamais, vraiment jamais, sous-estimer l’un d’entre eux. Que ce soit dans le cyberespace ou dans la mer, il faut toujours s’attendre à l’inattendu. »