La fuite de données subie par Yahoo!, sans doute la plus importante de l'Histoire, l'a rappelé: la menace de piratage est permanente même si elle reste encore largement sous-estimée par la plupart des utilisateurs, peu conscients des mesures à prendre pour se protéger.
Comment procèdent les pirates ?
Les techniques varient selon le type de base de données visée. « Il est évident qu'il est plus facile de le faire sur le site d'une association que contre un grand groupe du numérique », rappelle ainsi Michaël Bittan, associé responsable des activités de gestion des cyberrisques chez Deloitte. Parmi les méthodes les plus employées, le phishing (envoi d'un courriel avec un lien sur lequel cliquer ou une pièce jointe portant un logiciel espion). « Il peut également s'agir de trouver une vulnérabilité auprès d'un sous-traitant, d'un partenaire ou d'un contractant, qui permettra ensuite d'entrer sur le réseau de l'entreprise visée », ajoute pour sa part Laurent Heslault, directeur de la stratégie de sécurité pour Symantec.
Cependant, les groupes de cybercriminels cherchent de plus en plus souvent des complicités internes, ciblées après une période de profilage et permettant ainsi d'entrer sans risque sur un réseau. « Réussir à corrompre quelqu'un est le plus souvent un gain de temps et d'argent », confirme ainsi Tanguy de Coatpont, directeur général France et Afrique du Nord pour Kaspersky Lab. Car autrement, mener ce genre d'attaque demande du temps, des moyens et du personnel, dont peuvent disposer néanmoins certains groupes de cybercriminalité, organisés comme de véritables entreprises. Les attaques, qui nécessitent des mois de préparation et d'observation, sont dès lors ciblées et rapides ou au contraire furtives mais sur une longue période afin de rester sous le radar, selon la cible et ses capacités de réactions.
Peut-on protéger ses données ?
De l'avis de tous, il est impossible de protéger à 100 % les données. « Le risque zéro n'existe pas », rappelle ainsi Michaël Bittan, « mais il faut avoir en tête que la sécurité a évolué ». « Il y a encore une forme d'inconscience de la part de la majorité des utilisateurs », estime pour sa part M. de Coatpont. Bien souvent, les particuliers, par souci de simplicité préfèrent en effet utiliser le même mot de passe pour l'ensemble de leurs usages numériques.
Dans le cas de l'attaque subie par Yahoo!, les spécialistes recommandent ainsi « de changer immédiatement non seulement votre mot de passe Yahoo!, mais plus important encore, ceux des autres comptes pour lesquels vous pourriez avoir utilisé les mêmes identifiants », insiste ainsi Jeremiah Grossman, responsable de la stratégie sécurité chez SentinelOne.
Quelles réactions de la part des autorités nationales ?
Dans l'ensemble, les experts soulignent la prise de conscience des autorités de la majorité des États depuis plusieurs années. Au niveau européen en particulier, le règlement général sur la protection des données (RGPD) va imposer des règles strictes concernant la vie privée numérique des résidents européens. « Si vous stockez des données personnelles qui ne sont pas à vous, elles doivent être désormais cryptées, le règlement ne laisse quasiment pas de marge de manoeuvre. C'est une loi très importante car l'Union européenne considère que la protection de la vie privée est un droit fondamental, tout le texte découle de ce constat », explique ainsi Laurent Heslault.
La lutte contre la cybercriminalité et le piratage d'État fait lui aussi l'objet d'une attention toute particulière. En France, la loi de programmation militaire de 2015 intègre cette dimension. Actuellement, « un travail est réalisé au niveau européen sur les bases de la loi française, avec la recherche d'un compromis afin de créer un cadre applicable dans l'ensemble des États », assure par ailleurs Michaël Bittan.