« Being owned » ou « être possédé », termes qui font référence à l’emprise qu’ont les pirates sur les ordinateurs d’utilisateurs moindrement renseignés. Stephanie Hölzl et Pravesh Gaonjur, experts en sécurité informatique, nous guide dans cet enfer du piratage.
Le manque de vigilance : l’ennemi numéro un, incontestablement. C’est ce que feront ressortir Stephanie Hölzl et Pravesh Gaonjur tout le long de notre entretien. Il ne s’agit pas de paranoïa, de délire de geek. Selon le site zone-h.org, plus de 300 sites munis de l’extension .mu auraient été la proie d’attaques depuis 2001, ce qui conduit Stephanie Hölzl à avertir : « Le. mu n’est pas toujours considéré comme safe… Certaines banques de données blacklist ces sites : aucuns moyens d’accéder à des services dans certains cas. » Il faudrait donc que les Mauriciens deviennent « conscients » de certains faits et « remettent en question leur propre pratique de l’outil informatique ».
Exorciser le démon du piratage passe surtout par l’achat de programmes originaux. Mais essayons de comprendre en quoi le téléchargement de copies illégales de Windows de toute façon trop chères en original peut se révéler « occulte », informatiquement parlant. Privilégier la copie à l’original équivaut à laisser la clef de l’appartement au cambrioleur. Les copies de systèmes d’exploitation (operating system, OS) par exemple sont souvent servies avec des backdoors. « De ces backdoors les hackers peuvent accéder votre système, votre mail, envoyer des spams… C’est là le début de being owned. »
Spam, l’ennemi. Selon le site projecthoneypot.org, quasiment 50 % du trafic sur le safe cable mauricien serait dû au spam. L’internet local, trop lent ? « Ne cherchons pas plus loin », serions-nous tentés de dire.
Inspire Systems Institute
Inspire Systems Institute Ltd, dont Stephanie Hölzl et Pravesh Gaonjur sont respectivement Managing Director et Chief Executive Officer, est une société spécialisée dans la sécurité informatique. Basée à Orbis Court à Quatre-Bornes depuis mi-2011, elle propose deux types de service : formation et conseil.
Côté formation, Stephanie Hölzl revendique une expérience à l’international. Elle a même publié quelques livres sur le domaine et, avec Inspire Systems Institute, offrira bientôt des cours certifiés par le E-commerce Consultants International Council. La société de Quatre-Bornes est également un Microsoft Official Learning Partner.
Côté conseil, Inspire Systems Institute Ltd propose notamment du security auditing et du penetration testing. Le penetration testing fait référence à l’ethical hacking : l’expert de la société tente d’infiltrer le système, soit par voie externe (par internet), soit en interne en manipulant un employé de type Rebecca.
« The Rebecca correspond au profil de la petite réceptionniste très serviable mais qui, aux mains d’un hacker, se révèle un vrai danger pour l’employeur », nous explique Pravesh. Et de poursuivre : « Quand on parle de vigilance, on parle de PPT : people, process and technology. » Ne surtout pas ignorer l’aspect people, le danger que comporte la Rebecca, le Gaston Lagaffe.
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
RÉSEAUX SOCIAUX: Promovoir une utilisation intelligente
Stephanie Hölzl et Pravesh Gaonjur de Inspire Systems Institute Ltd nous font le tour du danger des réseaux sociaux. Une utilisation intelligente passe par une vigilance à tous les niveaux.
Déjà, soutient Pravesh Gaonjur, être très rigoureux sur la customisation des privacy settings. Il y va du bon sens. Mais surtout, « cela contribue ? projeter une image cr?dible de l’individu », soutient-il. Illustration de Stephanie Hölzl : « Un site comme Facebook donne un moyen aux employeurs de sonder le caract?re des postulants. Personne ne veut employer un exhibitionniste virtuel… Peu de privacy settings en disent long sur le manque de rigueur de l’individu… the lack of cyber-awareness. » Et d’ajouter : « C’est le genre de personne qui peut entraver la s?curit? informatique d’une soci?t?. »
Inutile d’avoir un profil si vous ne pouvez pas le gérer efficacement. « Le profil Facebook : la premi?re proc?dure de screening. » Facebook (fb), le tout n’est pas non plus d’éditer quelques configurations çà et là. Il faut consulter son profil de façon régulière. Comme nous le fait ressortir Pravesh Gaonjur, certaines modifications sont souvent apportées aux sites de réseaux sociaux. « En un update et vos privacy settings peuvent ?tre reformat?s. »
Autre considération importante : bien s’accoutumer aux applications et autres action buttons. Par exemple, Pravesh Gaojur avertit du danger de la subscription sur Facebook. « Notons que certaines fonctions annihilent les preliminary settings et peuvent d?bloquer plusieurs features… Par exemple, si vous subscribe (et vice-versa) ? une personne sur fb, votre profil n’est plus priv? et la personne peut voir toutes vos photos, etc. »
Et puis l’utilisateur se doit d’être prudent quant à ses likes. Se méfier du koobface, virus-vers le plus commun sur fb. Sa spécialité : le click-jacking (mot valise : click et hijacking). Par exemple, vous like un artiste, mais le programme s’empare de votre click, ce qui peut résulter en un post des plus embarrassants sur votre profil. Se méfier également du système de géolocalisation de fb, qui peut entraîner des situations plus que cocasses.