Pour combattre le cybercrime sur tous les fronts, Maurice prend les devants. L?Asian School of Cyber Law qui s?est associée avec le Whitefield Business School de Curepipe, proposera des cours de formation pour des cyberenquêteurs et des responsables de sécurité des réseaux à Maurice.

L?Information and Communication and Technology Authority se lance déjà dans la préparation des clés publiques (Public Key Infrastructure). Et le National Computer Board, lui, s?engage à mener cette campagne de conscientisation avant qu?il ne soit trop tard.

Bien que certains des enquêteurs de la CID ont été formés par l?Asian School of Cyber Law, Maurice ne semble cependant pas être bien armé contre la montée de la criminalité sur le Net. D?autant plus que les auteurs de cybercrimes sont des spécialistes très doués en informatique.

Même les nuls en informatique peuvent devenir des pirates aujourd?hui, en achetant un toolkit sur Internet pour dix dollars, environ Rs 350. (Voir hors texte). La sécurité informatique va ainsi se reposer sur l?éveil de tous les utilisateurs sur la nécessité de se protéger.

Importantes compagnies ou simple citoyen, toutes les victimes ont un trait commun : elles n?étaient nullement au courant des possibilités des pirates informatiques.

Et les spécialistes n?échappent pas à ce phénomène de piratage. Comme ces étudiants en informatique de l?université de Maurice, victimes de botnet. Leurs ordinateurs sont devenus des zombies-robots (d?où le terme botnet) et expédient des emails non sollicités (spam) sans qu?ils le sachent. Pire : ceux au courant de ce qui se passait ne pouvaient pas éliminer le botnet qui s?est installé sur leur ordinateur.

?Ce sont pourtant de simples mesures qu?on doit prendre pour se protéger, pour empêcher l?arriver du botnet et tout autre malware?, explique le Dr Narayan Chandrasekaran, expert indien en sécurité informatique, invité par la Global Learning de Vacoas pour la formation de ses étudiants en gestion (voir interview).

Chaque spécialiste en informatique peut écrire des livres sur ce qu?il a vu en termes de cybercrime dans leur carrière : détournement de fonds, usurpation d?identité, vol des données de banques ou de compagnies d?assurances, fraude sur le commerce en ligne? La liste est longue.

?Le Whitefield Business School, en collaboration avec l?Asian School of Cyber Law, tiendra donc des cours à trois volets à partir d?octobre. Ils porteront sur la cyberinvestigation, le hacking ethique qui permet de détecter les failles et les vulnérabilités, et l?infrastructure de clé publique. Nous n?accepterons pas n?importe qui pour ces cours. Un tri très sélectif se fera. Nous ne voulons pas former des pirates?, explique Noor Soormally qui sera chargé de cours à Whitefield Business School.

L?année dernière, l?Asian School of Cyber Law de l?Inde, qui forme des étudiants et mène également des enquêtes sur le cybercrime, a reçu une journaliste indienne. Celle-ci a découvert des séquences vidéo d?elle, toute nue, sur des sites Internet. Nullement adepte ou star de porno, elle ne s?explique pas ce viol de sa vie privée.

L?Asian School of Cyber Law tirera cependant vite l?affaire au clair. La journaliste a une connexion Internet et son ordinateur reste branché de même que son Web Cam. Or, cette caméra, même allumée, ne transmet pas d?images sans que l?utilisateur ne le permet. Malheureusement pour la journaliste, un cheval de Troie (voir hors texte) envoyé dans son ordinateur par un pirate a permis à ce dernier de prendre le contrôle de l?ordinateur à distance et de déclencher la caméra et récupérer les séquences.

Cette mobilisation de Maurice se situe donc dans une tendance internationale, car aujourd?hui, ce ne sont pas uniquement des hackers (pirates informatiques) que l?on doit se protéger. Le terrorisme et le crime organisé ont aussi pris d?assaut le réseau. ?Ce n?est plus tellement les hackers qu?il faut surveiller aujourd?hui. Internet est devenu un terrain idéal pour le crime organisé traditionnel, mais aussi un terrain de jeu de plus en plus glissant pour les internautes, notamment les jeunes?, explique Pascal Lointier, du Club de la sécurité des systèmes d?information français.

<B>Lexique informatique</B>

<B>Patch ou rustine</B>

Portion de code en langage machine qui, ajoutée à un programme, modifie ce dernier efficacement, bien que de façon sommaire et temporaire, dans le but de corriger une erreur ou un dysfonctionnement, ou encore d?améliorer ce programme par l?addition d?une fonction, d?une caractéristique ou par une mise à jour.

<B>Phishing</B>

Terme qui vient de l?anglais ?fishing?, les adeptes de cette méthode lancent des appâts ? ?sites miroirs?? qu?ils montent et qui sont semblables à des portails de renom. Puis les internautes sont arrosés au hasard avec un courriel non sollicité (spam) qui reprend à son tour l?habillage graphique du portail détourné.

Le but du jeu est d?attirer un internaute réellement client du site plagié. Ce spam l?invite à se rendre sur le site pour remettre à jour des renseignements personnels dans un faux questionnaire. L?internaute ainsi dupé laisse numéros de téléphone, de compte bancaire et de carte de crédit. Autant d?informations pour les escrocs en ligne qui usurpent alors l?identité de leur victime pour des transactions électroniques. Le phishing est aussi appelé brand spoofing ou carding.

<B>Cheval de Troie</B>

Programme qui, introduit dans une séquence d?instructions normales, prend l?apparence d?un programme valide. Mais il contient en réalité une fonction illicite cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont contournés, ce qui permet la pénétration par effraction dans des fichiers pour les consulter, les modifier ou les détruire. Le cheval de Troie ne se réplique pas. il peut demeurer inoffensif à l?intérieur d?un jeu ou d?un utilitaire, jusqu?à la date programmée de son entrée en action.

<B>Toolkit</B>

Il ne faut pas nécessairement être un expert en informatique pour pirater un réseau ou des ordinateurs. Avec dix dollars, on peut acheter sur internet un ?toolkit?, programme qui contient des codes simples, mais qui devient quasiment indétectable et permet, une fois installé dans l?ordinateur de la victime de tous savoir : ses codes, ses logiciels, etc.

QUESTIONS AU?

<B>Dr Narayan Chandrasekaran, Expert international en sécurité informatique</B>

<B>Est-il facile d?outrepasser le système de sécurité des réseaux bancaire, militaire ou gouvernemental ? </B>

Cela peut être extrêmement facile si le concepteur du réseau ou son administrateur ne prennent pas des précautions de base. Tous les systèmes informatiques sont vulnérables à des attaques. Il faut continuellement faire un constat de la situation et identifier les failles. Il faut démystifier les choses. Les ordinateurs, les systèmes d?exploitation, les applications et les logiciels ont été développés par des hommes. Les pirates sont des hommes qui ont fréquenté les mêmes écoles et qui ont la même logique que les développeurs. C?est pourquoi des patchs (rustines) sont continuellement développés pour renforcer les systèmes d?opérations, les applications ou encore les navigateurs internet.

<B>Voulez-vous dire qu?il peut y avoir intrusion dans votre ordinateur à travers des points de vulnérabilité de votre navigateur ? </B>

Exact. Ce qui est vrai pour un réseau informatique l?est aussi pour le public en général. Les ordinateurs que nous avons à la maison sont sujets à des attaques. On peut vous dérober votre numéro de carte de crédit ou vos mots de passe, par exemple. Donc les utilisateurs doivent toujours télécharger les patchs pour leur système d?exploitations, télécharger et installer les dernières versions des navigateurs, les mises à jour. Cela est également vrai pour les antivirus. Ces patchs sont produits après la découverte des points de vulnérabilité ou à la suite d?attaques. Si vous ne les téléchargez pas, votre ordinateur reste vulnérable sur ces points connus des hackers.

<B> Malgré les moyens colossaux dont il dispose, Windows ne peut donc pas produire un système d?opération invulnérable ? </B>

Non. L?invulnérabilité, ou une quasi-invulnérabilité vient avec le temps et les patchs. Pour vous donner une idée de la situation, sachez qu?entre janvier 2003 à juin de la même année, Windows XP a réparé 28 failles avec des patchs. Il y a eu 30 pour Windows 2000, 14 pour Linux et 18 pour Apache. Les foyers équipés d?un simple ordinateur et les compagnies avec leur réseau informatique doivent tous se protéger, télécharger et installer ces patchs du moment qu?ils sont émis.

<B>Des sites de l?Etat mauricien ont déjà été l?objet d?attaques réussies. Cela veut-il dire que le pays n?a pas un bon niveau de sécurité et qu?il y a eu négligence de la part des administrateurs des réseaux ? </B>

Les intrusions sont faciles quand vous ne prenez pas de précautions de base très simples. Il y a environ 15 jours, le serveur email des chancelleries de l?Inde a été piraté. Tous les courriels envoyés par le ministère des Affaires étrangères vers ces chancelleries et ceux des diplomates vers le ministère ont été étalés en public. On a su comment s?est préparé la visite du Premier ministre au Japon, ce qu?on dit des diplomates sur telle ou telle personne, etc. Cela dit, il faut aussi savoir que le Pentagone a aussi été victime de ces types d?intrusion.

<B> Votre tâche consiste à former des spécialistes pour empêcher ces intrusions. Quelle est votre mission à Maurice ? </B>

Je suis ici sur une invitation de la Global Learning de Vacoas pour quatre jours de conférence à l?intention des étudiants préparant le MBA avec spécialisation en réseau informatique. Je dois souligner que vous avez un système hautement sécurisé et très fiable pour le commerce électronique. On achète et on vend par milliards de dollars à travers Internet. Mais vous ne pouvez pas encore voter par Internet. Pourquoi ? Les banques et les institutions financières ont mis en place un système fiable que les Etats n?ont pas encore mis en place. On doit et on peut commencer à le faire à travers des sondages d?opinion. Il se déroulera comme une élection et on vérifiera à travers différents sondages les failles du système qu?on pourra sécuriser pour arriver à ce que les institutions financières possèdent déjà.

Cela est très important pour l?e-governance. Car dites-vous bien que l?e-governance est principalement une question de décentralisation. Vous devez pouvoir payer votre taxe et obtenir votre passeport comme vous obtenez aujourd?hui votre billet avion, à travers l?Internet, sans vous déplacer vers la compagnie aérienne ou l?agence de voyage.