\u00abIl est extr\u00eamement difficile d\u2019arr\u00eater un informaticien qui veut vraiment faire du mal.\u00bb En une phrase, Claude Chollet, directeur de Lanexpert \u00e0 Lausanne, r\u00e9sume le probl\u00e8me: en quelques d\u00e9cennies, le pouvoir des ing\u00e9nieurs informatiques est devenu colossal et incontr\u00f4lable. En toute impunit\u00e9, ceux-ci peuvent contr\u00f4ler tout ce qui se passe sur les ordinateurs. Parfois pour des raisons l\u00e9gitimes de maintenance, parfois aussi pour satisfaire une curiosit\u00e9 personnelle, voire pour exercer un chantage sur leur hi\u00e9rarchie. <\/p>\n
Pas \u00e9tonnant dans ce contexte que les affaires impliquant des informaticiens se multiplient. Au-del\u00e0 de la pol\u00e9mique sur la nature des images t\u00e9l\u00e9charg\u00e9es, le scandale qui secoue depuis quelques mois la Radio suisse romande illustre d\u2019ailleurs le ph\u00e9nom\u00e8ne. Mais ce n\u2019est de loin pas la seule histoire.<\/p>\n
Qui est \u00e0 l\u2019origine du scandale fiscal de ce d\u00e9but d\u2019ann\u00e9e au Liechtenstein? Un informaticien: Heinrich Kieber, 42 ans. Employ\u00e9 de la LGT Bank entre avril 2001 et novembre 2002, il a d\u2019abord fait chanter son employeur avant de vendre le CD de donn\u00e9es, qu\u2019il avait vol\u00e9, au plus offrant. R\u00e9sultat, pr\u00e8s de 1\u2019000 personnes et leurs donn\u00e9es personnelles r\u00e9v\u00e9l\u00e9es et un joli pactole pour Kieber: les services fiscaux allemands ont d\u00e9bours\u00e9 4,2 millions d\u2019euros pour ces informations. Aux derni\u00e8res nouvelles, l\u2019ing\u00e9nieur se cache en Australie, d\u2019o\u00f9 il commercialise des donn\u00e9es \u00e0 d\u2019autres autorit\u00e9s fiscales concern\u00e9es. Dans un autre style, ce sont aussi les manipulations d\u2019un informaticien, Imad Lahoud, qui interviennent dans le serpent de mer Clearstream. <\/p>\n
Qu\u2019elles deviennent m\u00e9diatiques ou pas, les affaires se multiplient. Y compris localement. Le juge d\u2019instruction vaudois Jean Treccani ne compte plus les anecdotes d\u2019abus de pouvoir informatique: \u00abr\u00e9cemment, raconte-t-il par exemple, un informaticien dont l\u2019entreprise interdisait strictement l\u2019utilisation d\u2019Internet \u00e0 des fins priv\u00e9es, a usurp\u00e9 le login informatique d\u2019un autre employ\u00e9 pour pouvoir surfer au bureau en toute libert\u00e9.\u00bb<\/p>\n
Si, dans le secteur, les responsables minimisent l\u2019importance de ces pratiques, les chiffres, eux, sont \u00e9loquents. Selon une \u00e9tude, r\u00e9alis\u00e9e aux Etats-Unis par l\u2019entreprise Cyber-Ark Software, un tiers des responsables informatiques usent de leurs privil\u00e8ges d\u2019administrateur pour fureter dans le syst\u00e8me de leur soci\u00e9t\u00e9 et y consulter des informations confidentielles ou priv\u00e9es. L’un des administrateurs r\u00e9seau interrog\u00e9 dans l\u2019\u00e9tude pose la question: \u00abSi vous disposiez de tous les acc\u00e8s, ne feriez-vous pas la m\u00eame chose?\u00bb La d\u00e9rive omnipotente des informaticiens s\u2019explique en trois points. <\/p>\n
1 \u2013 Les machines enregistrent tout<\/b><\/p>\n
\u00abAujourd\u2019hui, la moindre de nos actions g\u00e9n\u00e8re des donn\u00e9es qui sont stock\u00e9es dans des serveurs, rappelle David Billard, professeur \u00e0 l\u2019Unige et expert judiciaire en informatique. En analysant ces informations, il est possible de suivre une personne \u00e0 la trace.\u00bb Mais le sait-on seulement? Les interactions num\u00e9riques qui ponctuent nos journ\u00e9es sont devenues si fr\u00e9quentes et naturelles que nous n\u2019y pensons m\u00eame plus. En France, chaque habitant figure en moyenne dans 300 \u00e0 500 fichiers informatiques diff\u00e9rents, selon les chiffres de la Commission nationale de l’informatique et des libert\u00e9s (CNIL). <\/p>\n
Les serveurs des op\u00e9rateurs t\u00e9l\u00e9phoniques stockent les textes des SMS. Ils notent les heures et les destinataires des conversations. Les antennes des r\u00e9seaux mobiles localisent les usagers. Les op\u00e9rateurs de carte de cr\u00e9dit suivent les achats et m\u00e9morisent lieux, dates et montants. Les fournisseurs d\u2019acc\u00e8s \u00e0 Internet, ou les gestionnaires du r\u00e9seau d\u2019une entreprise, voient sur quels sites surfent leurs usagers, combien de temps ils restent sur chaque page, quels images et morceaux de musiques sont t\u00e9l\u00e9charg\u00e9s. Les textes envoy\u00e9s sur tchat ou e-mail ont la confidentialit\u00e9 d\u2019une carte postale. A chaque n\u0153ud du r\u00e9seau internet (appel\u00e9 routeur), les responsables informatiques peuvent lire, filtrer et policer tout ce qui circule. \u00abDans une entreprise, les donn\u00e9es, en particulier les courriers \u00e9lectroniques, sont lisibles \u00e0 n\u2019importe quel endroit du r\u00e9seau, explique St\u00e9phane Koch, pr\u00e9sident d\u2019Internet Society Geneva et expert en s\u00e9curit\u00e9 de l’information. Le risque qu\u2019une personne malveillante les intercepte est r\u00e9el.\u00bb<\/p>\n
2 \u2013 Trop d\u2019informaticiens ont acc\u00e8s \u00e0 trop d\u2019informations<\/b><\/p>\n
\u00abJ\u2019avais \u00e0 peine 23 ans, je venais de commencer un stage dans le service informatique d\u2019une grande multinationale, se souvient un ing\u00e9nieur genevois. On m\u2019a confi\u00e9 la maintenance des serveurs de courrier \u00e9lectronique. Apr\u00e8s une semaine de travail, je pouvais lire les mails de toute l\u2019entreprise, y compris ceux du directeur g\u00e9n\u00e9ral. Personne ne r\u00e9alisait \u00e0 quel point cela me donnait une position strat\u00e9gique d\u2019une importance d\u00e9mesur\u00e9e par rapport \u00e0 mon poste. J\u2019aurais pu tout savoir des infid\u00e9lit\u00e9s de mes patrons ou de la strat\u00e9gie du groupe. Vertigineux.\u00bb<\/p>\n
Bref, les techniciens peuvent tout surveiller, sur demande de leur hi\u00e9rarchie ou pas d\u2019ailleurs. \u00abLorsque je les interroge, je m\u2019aper\u00e7ois que la plupart consid\u00e8re qu\u2019il est tout \u00e0 fait normal qu\u2019ils disposent d\u2019acc\u00e8s privil\u00e9gi\u00e9s \u00e0 des informations confidentielles\u00bb, note le juge Treccani. Avec les risques que cela implique pour l\u2019entreprise: \u00abJ\u2019ai travaill\u00e9 sur le cas d\u2019un informaticien qui avait d\u00e9rob\u00e9 des donn\u00e9es concernant les salaires des autres employ\u00e9s. Il a ensuite diffus\u00e9 le document \u00e0 une tr\u00e8s large \u00e9chelle pour cr\u00e9er des conflits au sein de l\u2019entreprise.\u00bb<\/p>\n
\u00abL\u00e9galement, comme n\u2019importe quels autres employ\u00e9s d\u2019ailleurs, les informaticiens sont tenus de respecter le secret professionnel, rappelle Pieric Henneberger, juriste aupr\u00e8s de DroitActif, un cabinet sp\u00e9cialis\u00e9 en droit du travail. En aucun cas ils ne peuvent r\u00e9v\u00e9ler ou utiliser \u00e0 l\u2019ext\u00e9rieur les informations qu\u2019ils d\u00e9couvrent dans le cadre de leur travail.\u00bb Mais, d\u00e8s que plusieurs ing\u00e9nieurs disposent d\u2019acc\u00e8s privil\u00e9gi\u00e9s, et non contr\u00f4l\u00e9s, tous les sc\u00e9narii sont envisageables. <\/p>\n
En 2004 dans le canton de Vaud, la copie d’un proc\u00e8s-verbal de la \u00abCellule de crise\u00bb concernant les renvois d\u2019\u00e9trangers s\u2019est retrouv\u00e9e dans la presse. Apr\u00e8s une plainte du conseiller d\u2019Etat Jean-Claude Mermoud, la justice a \u00e9t\u00e9 charg\u00e9e de retrouver l\u2019auteur de la fuite. \u00abLe document avait \u00e9t\u00e9 transmis \u00e0 quatorze destinataires par e-mail, raconte Jean Treccani, juge d’instruction du canton de Vaud. A c\u00f4t\u00e9 de ces 14 suspects, il est apparu que 25 informaticiens b\u00e9n\u00e9ficiaient d’acc\u00e8s privil\u00e9gi\u00e9s \u00e0 toutes les boites aux lettres \u00e9lectroniques! Th\u00e9oriquement, tous auraient pu acc\u00e9der \u00e0 ce mail sans laisser de trace. En les interrogeant, je me suis rendu compte que beaucoup n’avaient pas de raison s\u00e9rieuse de disposer de ces droits d’acc\u00e8s. Je n\u2019ai jamais pu retrouver l\u2019auteur de la fuite.\u00bb<\/p>\n
3 \u2013 Manque de surveillance<\/b><\/p>\n
Dans les entreprises, on consid\u00e8re g\u00e9n\u00e9ralement le d\u00e9partement informatique comme un service d\u2019entretien. Tant que \u00e7a marche, la direction se pr\u00e9occupe peu de son organisation. Pire, comme personne ou presque ne comprend leur jargon, l\u2019autonomie des informaticiens s\u2019en trouve renforc\u00e9e.. \u00abComme il est tr\u00e8s facile pour eux de m\u2019embrouiller avec leurs termes techniques, ils se permettent tout, peste un dirigeant haut plac\u00e9 dans une banque romande. L\u2019un d\u2019eux, m\u00eame pas trente ans, m\u2019a r\u00e9cemment donn\u00e9 un ordre, comme s\u2019il \u00e9tait mon sup\u00e9rieur hi\u00e9rarchique!\u00bb <\/p>\n
Comment un employeur peut-il r\u00e9agir face \u00e0 cela? Pour le juge d\u2019instruction Jean Treccani, \u00abil y a des lacunes \u00e9normes en ce qui concerne l\u2019\u00e9thique des informaticiens. Dans leur formation, il n\u2019y a aucun cours sur ce sujet. Par ailleurs, selon le juge, les entreprises ne g\u00e8rent pas avec la vigilance n\u00e9cessaire l\u2019acc\u00e8s aux informations sensibles. \u00abJe suis \u00e9tonn\u00e9 qu\u2019il n\u2019existe pas de double contr\u00f4le pour acc\u00e9der aux fichiers sensibles, \u00e0 l’instar de ce qui existe en mati\u00e8re de signatures sociales.\u00bb <\/p>\n
Une autre solution pour prot\u00e9ger le contenu de son ordinateur consiste \u00e0 crypter l’int\u00e9gralit\u00e9 du contenu de son disque dur et ses mails. \u00abMais, pour que le destinataire les lise, il faut qu’il dispose du m\u00eame syst\u00e8me de codage et qu’il en poss\u00e8de la cl\u00e9\u00bb, explique St\u00e9phane Koch. C’est un r\u00e9el probl\u00e8me pour les entreprises sensibles, comme les banques, qui pour cette raison ne peuvent pas garantir la confidentialit\u00e9 des informations \u00e9chang\u00e9es par e-mail avec leurs clients.<\/p>\n
\u00abL\u2019erreur que font certaines entreprises vient de l\u2019absence de r\u00e8gles, estime Christophe Andrea, pr\u00e9sident du Groupement romand de l’informatique (GRI). Les informaticiens devraient signer des clauses de confidentialit\u00e9 qui pr\u00e9cisent clairement ce qu\u2019ils ont droit de faire et ce qui est interdit\u00bb. Une pratique qui ne semble que commencer \u00e0 se g\u00e9n\u00e9raliser: \u00abPour la premi\u00e8re fois, je viens de signer une clause de confidentialit\u00e9\u00bb, dit Laurent Magne, informaticien du groupe Bedag. Ces chartes ne peuvent cependant pas grand choses face \u00e0 des malversations intentionnelles. Afin de minimiser les risques, certaines entreprises choisissent de diviser les responsabilit\u00e9s informatiques entre plusieurs personnes ou de surveiller le travail de leurs informaticiens. <\/p>\n
Au CHUV, par exemple, un cadre est charg\u00e9 de surveiller le d\u00e9partement informatique. Mais, m\u00eame avec de tels syst\u00e8mes, \u00abil est tr\u00e8s difficile de se prot\u00e9ger des malveillances internes, reconna\u00eet Claude Chollet de Lanexpert. Car, m\u00eame si le r\u00e9seau informatique d\u2019une soci\u00e9t\u00e9 est tr\u00e8s prot\u00e9g\u00e9, avec une gestion des droits d\u2019acc\u00e8s tr\u00e8s stricte, au bout de la cha\u00eene, il y a toujours un informaticien qui g\u00e8re l\u2019ensemble des droits. Celui-l\u00e0 a forc\u00e9ment acc\u00e8s \u00e0 tout.\u00bb<\/p>\n
——-
\nComment se prot\u00e9ger<\/b><\/p>\n
PC ou Macintosh?<\/b> Fixe ou portable?<\/b><\/p>\n Pos\u00e9 sur un bureau, un ordinateur portable pr\u00e9sente exactement les m\u00eames inconv\u00e9nients qu\u2019un fixe. Mais, en d\u00e9placement, les risques sont diff\u00e9rents: perte, vol, les donn\u00e9es d\u2019un laptop se retrouvent plus facilement entre de mauvaises mains. Pour C\u00e9dric Renouard, l\u2019un des trois fondateurs d\u2019Illion Security, \u00abla mobilit\u00e9 exige des mesures sp\u00e9cifiques de s\u00e9curit\u00e9, comme le cryptage des donn\u00e9es\u00bb.<\/p>\n PDA?<\/b><\/p>\n Attention! \u00abAujourd\u2019hui, les gens utilisent leur PDA de la m\u00eame mani\u00e8re que leur ordinateur: ils envoient des mails, des SMS, des MMS, sauvegardent des fichiers importants, t\u00e9l\u00e9phonent\u2026 Pourtant, la s\u00e9curit\u00e9 de ces appareils est ridicule par rapport \u00e0 ce que l\u2019on dispose sur un PC, pr\u00e9vient C\u00e9dric Renouard. Ils n\u2019ont pas d\u2019antivirus, pas de firewall, rien.\u00bb<\/p>\n Mail pro ou mail priv\u00e9?<\/b><\/p>\n Le courrier envoy\u00e9 et re\u00e7u depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficult\u00e9 par le gestionnaire du serveur mail de l\u2019entreprise, mais aussi par n\u2019importe quel technicien qui dispose d\u2019un acc\u00e8s au routeur qui relie l\u2019entreprise au r\u00e9seau internet. Les mails sont aussi visibles aupr\u00e8s de l\u2019op\u00e9rateur (fournisseur d\u2019acc\u00e8s) qui g\u00e8re la connexion de l\u2019entreprise.<\/p>\n Les syst\u00e8mes de \u00abwebmail\u00bb comme Hotmail (Microsoft), Gmail (Google) ou Bluemail (Bluewin) offrent une plus grande confidentialit\u00e9. En effet, le texte des messages est crypt\u00e9 lorsqu\u2019il quitte la machine de l\u2019usager, et ne sera d\u00e9crypt\u00e9 que sur le serveur du prestataire. Le message circule alors en clair \u00e0 partir d\u2019un serveur lointain (par exemple, celui de Microsoft se trouve \u00e0 Redmond), ce qui offre une plus grande s\u00e9curit\u00e9 car la curiosit\u00e9 est g\u00e9n\u00e9ralement plut\u00f4t locale.<\/font><\/p>\n ——- En ma\u00eetrisant la technologie, les informaticiens d\u00e9tiennent un acc\u00e8s privil\u00e9gi\u00e9 \u00e0 des donn\u00e9es sensibles, confidentielles, et parfois priv\u00e9es. Cons\u00e9quences: des d\u00e9rives qui les conduisent r\u00e9guli\u00e8rement \u00e0 des abus. <\/p>\n","protected":false},"author":22,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2616","post","type-post","status-publish","format-standard","hentry","category-technophile","technophile"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/22"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2616"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2616\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nMoins attaqu\u00e9s par les virus informatiques, les Mac ne pr\u00e9sentent pas d\u2019avantages majeurs par rapport aux PC quand il s\u2019agit d\u2019espionnage interne. Le r\u00e9seau informatique d\u2019une entreprise, qu\u2019il soit sur Mac ou PC, permet aux informaticiens de voir ce qu\u2019il se passe sur les postes des autres salari\u00e9s.<\/p>\n
\nCollaboration: Bertrand Beaut\u00e9<\/p>\n","protected":false},"excerpt":{"rendered":"