Ils tentent de s’introduire par effraction dans les systèmes informatiques. Et ils sont payés pour cela. Rencontre avec les professionnels de Ilion Security, à Genève.
En 2005, la cybercriminalité a rapporté davantage à la mafia américaine que le trafic de drogue. Un argument de choc qui justifie à lui seul l’existence d’Ilion Security. La société genevoise est spécialisée dans le piratage légal, un hacking ethique destiné aux entreprises souhaitant se défendre contre les attaques informatiques.
Seule à offrir ce service en Suisse romande, la start-up est née en 2002 de l’imagination de trois ingénieurs de l’EPFL et emploie aujourd’hui 25 personnes en Suisse, en France, en Russie et à Dubaï.
Les sociétés, qui jusqu’à récemment réfléchissaient surtout en termes de sécurité physique, ont en effet commencé à comprendre les avantages d’une infrastructure informatique résistante aux attaques.
«L’information, qui est la cible principale des hackers, représente pour de nombreuses entreprises une part importante de leur valeur», souligne Cédric Renouard, l’un des trois fondateurs d’Ilion Security.
Exemples: les listes de clients et des numéros de compte dans le cas d’une banque, ou les résultats de recherche qui vont se transformer en brevets pour un groupe pharmaceutique. Les instances gouvernementales, qui représentent 25% de la clientèle de la société (contre 65% de banques), sont également concernées: «La récente affaire du fax égyptien a affaibli la crédibilité de la Suisse. Un tort non négligeable pour un pays qui exporte beaucoup.»
Tenant compte de la valeur croissante de l’information, Ilion Security propose aux entreprises un système en six étapes pour gérer le risque d’une attaque informatique. Tout audit débute par la définition du niveau de sécurité que la société veut atteindre.
«La sûreté à 100% n’existe pas. On peut cracker n’importe quel système pour autant qu’on y mette les moyens suffisants. Il faut donc déterminer le degré de sécurité idéal en fonction des besoins de l’entreprise.»
Débute ensuite la phase de hacking proprement dit, soit «une simulation d’attaque réaliste qui s’apparente au crash test que l’on fait subir aux voitures». Seule différence: Ilion Security n’endommage pas le système lorsqu’elle le pénètre en douce.
Les employés de la société «attaquée» ne sont pas mis au courant au préalable, de manière à rendre le hack encore plus proche de la réalité. «Parfois, même le responsable de la sécurité (CSO) ne sait pas que nous intervenons.» La firme genevoise dit parvenir à craquer le système de son client dans 98% des cas.
Cette étape permet de dresser un bilan des failles, ainsi que de définir les mesures pour y remédier et leur coût. La réalisation de ces recommandations sera confiée par la suite à une autre société, une séparation des tâches qui garantit l’indépendance d’Ilion Security.
«Si nous étions également chargés d’appliquer les solutions que nous proposons, nous aurions un intérêt financier direct à dire que tout va bien ou mal, selon que nous venons d’installer un nouveau système de sécurité ou que nous envisageons de le faire.»
Un audit rapporte en effet bien moins que l’installation de mécanismes de sûreté, «quelques centaines de milliers de francs contre plusieurs millions, dans le cas d’une société de taille moyenne».
Parmi les recommandations d’Ilion Security figurent des mesures organisationnelles comme la mise en place d’un plan de réaction optimal en cas de piratage. «Il faut déterminer qui fait quoi, qui appellera la police, qui contactera l’avocat, qui est de piquet le week-end, etc.»
Il s’agit également de former le personnel à l’éventualité d’une attaque informatique et de lui donner les outils de base pour pratiquer un audit interne du système de sécurité de l’entreprise.
Enfin, Ilion Security conseille quelques solutions technologiques: mise à jour régulière des postes, filtrage de l’information et compartimentage du système pour éviter qu’une tentative de hacking localisée ne contamine l’ensemble de la société.
Des nouvelles technologies issues de la recherche devraient pouvoir être appliquées bientôt. «L’une d’entre elles, le Trusted Computing, servira à sécuriser le poste de travail de l’employé, qui est le point faible dans l’infrastructure informatique de toute entreprise, explique Cédric Renouard. Le PC du futur contiendra ainsi une puce qui désactivera tous les programmes non utilisés lorsqu’une transaction délicate est effectuée (paiement, etc.).»
Une fois l’audit pratiqué et les recommandations émises, Ilion Security aide encore ses clients à maintenir leur système de sûreté sur le long terme, leur conférant une «indépendance sécuritaire». La société genevoise est en effet partenaire d’Allianz et parvient à ce titre à obtenir pour ses mandants une assurance sur le hacking à bon prix.
«Nous témoignons auprès de l’assureur du niveau de sécurité de l’entreprise. Or, plus il est élevé et plus les primes vont être basses.»
Mais quels sont, dans le fond, les risques informatiques encourus par une entreprise? «Dans 50% des cas, le problème vient de l’intérieur, soit d’un employé mécontent, corrompu ou maladroit», répond le patron d’Ilion Security.
Le hack peut prendre la forme d’un vol d’informations. «Un gérant de fortune qui vole la liste des clients de sa banque peut les revendre à la concurrence, s’en servir pour son propre usage, faire chanter sa direction ou encore les publier sur internet, causant un tort d’image considérable à l’établissement.»
Le hacker peut également effectuer une opération frauduleuse (détournement d’argent, phishing) visant les sociétés et banques qui se servent de l’internet pour effectuer leurs paiements ou qui mettent ce service à disposition de leurs clients.
«Le Citigroup s’est fait voler 30 millions de dollars comme cela», détaille Cédric Renouard, tout en précisant que les banques suisses sont «relativement bien protégées contre ce type de fraude».
Troisième risque: l’indisponibilité. Le hacker met le serveur de l’entreprise hors service pendant une période donnée. «Un employé de l’UBS mécontent de sa prime de fin d’année a bloqué le système pendant 24 heures.»
Une action malveillante qui aurait coûté pas loin de 100 millions de francs à la banque, selon plusieurs sources.
Aujourd’hui, Ilion Security est la seule entreprise suisse romande qui permette de lutter contre ce type d’attaques de façon globale. Une autre société basée à Genève, Hacknet, fait du hacking éthique, mais sans proposer de solutions par la suite.
Quant à Objectif Securité, une start-up fondée par le professeur de l’EPFL Philippe Oechslin à Gland, elle propose surtout des audits et applique les mesures de sécurité prônées par des firmes comme Ilion Security. «Nous sommes en fait assez complémentaires avec nos concurrents”, dit Cédric Renouard.
Sur le marché suisse, seule une firme alémanique, OneConsult, intervient à peu près sur le même créneau qu’Ilion Security «tout en faisant davantage d’implémentation».
A l’étranger, en revanche, les concurrents sont nombreux, notamment aux Etats-Unis, en Israël, en Russie et en Afrique du Sud. Ilion Security bénéficie toutefois d’un avantage sur ses concurrents.
«Nous profitons du label suisse. En Russie, par exemple, on nous font davantage confiance qu’à une société de hacking locale. Et au Moyen-Orient, la neutralité helvétique joue en notre faveur, par rapport aux entreprises américaines ou israéliennes.» La réputation de sérieux et de précision du «Swiss made» a encore frappé…
——-
Profession hacker
Les employés d’Ilion Security passent leurs journées à cracker les systèmes informatiques des banques de la place et des plus grandes entreprises pharmaceutiques du pays. La société genevoise se doit donc de choisir son personnel soigneusement. «Nous engageons des gens très compétents techniquement, mais nous examinons également leur casier judiciaire, qui doit être vierge, ainsi que leur stabilité, leur honnêteté et leur déontologie», détaille Cédric Renouard, l’un des trois co-fondateurs d’Ilion Security.
Des critères sévères à la hauteur de l’enjeu. Il s’agit d’éviter à tout prix le hacker «off the record», qui entreprend des actions illégales à côté de son travail ou le soir, une fois rentré chez lui. D’autant que le pirate éthique doit rester en contact permanent avec le monde du hack s’il veut se tenir au courant des dernières nouveautés.
«Chaque auditeur investit une partie de son temps pour cela, indique Antonio, l’un des employés de la firme qui préfère conserver l’anonymat pour des raisons de sécurité. Nous nous rendons également aux réunions internationales et suivons les règles du réseautage.»
Antonio raconte qu’il s’est retrouvé, à un moment donné, face à un «dilemme éthique», au vu des possibilités que lui offraient ses compétences informatiques. Il a dû faire un choix: «J’ai décidé que je ne voulais pas enfreindre la loi». Ilion Security lui offrait à cet égard la seule possibilité d’exercer sa passion en conformité avec la loi.
«C’est un choix de vie, comme entrer dans la police plutôt que dans le crime organisé», observe Cédric Renouard. Pour parer à toute éventualité, la start-up genevoise ne ménage pas ses moyens.
«Nous faisons tout notre possible pour que nos employés demeurent stables: nous leur offrons de bonnes conditions de travail, un très bon salaire et nous n’engageons que des résidents helvétiques qui ont des attaches ici.»
La Suisse étant dotée d’un niveau de vie élevé, les employés d’Ilion Security risquent aussi moins de céder à une offre malhonnête. «Il est plus facile d’être honnête quand on gagne bien sa vie», résume-t-il.
Par ailleurs, seuls les auditeurs concernés par un contrat particulier connaissent le nom du mandant. Face au reste des employés, le client est désigné par un pseudonyme.
Les employés d’Ilion Security ne sont-ils pas tout de même soumis à une tentation énorme, eux qui ont quotidiennement entre les mains des informations hautement confidentielles qui peuvent rapporter gros? Cédric Renouard reste confiant:
«Si l’un de nos auditeurs parvient à hacker un système depuis chez nous, c’est qu’il peut le faire depuis l’extérieur également. Or, si vous aviez le choix entre cambrioler une banque en lui remettant votre passeport au préalable ou de le faire anonymement, que choisissez-vous?» CQFD.
——-
Une version de cet article est parue dans le magazine Reflex de janvier 2007.