Sauvegarder, utiliser, protéger, équiper, réduire… S-U-P-E-R ¹Prévention Suisse de la Criminalité. (2021). SUPER – Sauvegarder Utiliser Protéger Equiper Reduire. https://www.s-u-p-e-r.ch/fr/ (consulté le 16.05.2021) . Il s’agit de la nouvelle sensibilisation consacrée à la cybersécurité mise en place par la Prévention Suisse de la Criminalité ²Prévention Suisse de la Criminalité. (s. d.). Prévention Suisse de la Criminalité. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/ (consulté le 16.05.2021) en mai 2021. Cette sensibilisation, axée principalement sur les réseaux sociaux, démontre l’importance des enjeux des cybermenaces, mais surtout les risques constants de ce fléau. Pour mieux se rendre compte de l’importance du phénomène, il existe une carte interactive des cybermenaces en temps réel ³Kaperski. (s. d.). CARTE | Carte des cybermenaces en temps réel. CARTE | Carte des cybermenaces en temps réel. Consulté 1 juin 2021, à l’adresse https://cybermap.kaspersky.com/fr (consulté le 16.05.2021) développée par Kaspersky, société spécialisée dans la sécurité des systèmes d’information.

L’arrivée de la pandémie mondiale et toutes les conséquences pour les entreprises privées et publiques ont perturbé l’environnement de travail des employés. Les entreprises et les Etats ont-ils su s’adapter afin de maintenir un niveau de sécurité informatique adéquat ?

Ce présent article développe l’impact de la pandémie sur les cybermenaces, s’intéresse à l’efficacité de la prévention actuelle et ouvre la réflexion sur une opportunité de prévention dans le domaine après l’analyse d’une actualité récente.

Hacking et malware

Cette contribution présente deux volets de dangers liés à Internet et à l’informatique. Tout d’abord, le piratage informatique (hacking) qui consiste pour un pirate à accéder à un système informatique à l’insu de l’utilisateur afin d’avoir les pleins pouvoirs sur les données et l’infrastructure. Les cibles prioritaires des pirates pour le hacking sont les sites web et les adresses de messagerie afin d’obtenir des données commerciales ou des données bancaires. Non seulement d’énormes pertes financières peuvent avoir lieu, mais la notoriété de la victime (gouvernement, entreprise ou particulier) peut être entachée ⁴Prévention Suisse de la Criminalité. (s. d.). Piratage + logiciels malveillants. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/sujets/internet/piratage-logicielsmalveillants/ (consulté le 16.05.2021) .

La deuxième cybermenace abordée concerne les logiciels malveillants (malware) qui exécutent de multiples opérations nuisibles sur une machine informatique ou un réseau ⁵Red Hat, Inc. (2021). Un logiciel malveillant, qu’est-ce que c’est ? https://www.redhat.com/fr/topics/security/what-is-malware (consulté le 16.05.2021) . Téléchargés et installés par l’utilisateur, ils peuvent prendre différentes formes et ne sont évidemment pas visibles. Les plus connues médiatiquement sont les chevaux de Troie (trojan horse), les rançongiciels (ransomware), les vers (worm) ou encore les logiciels espions (spyware) ⁶Kapersky Lab. (2021). How to get rid of malware? Www.Kaspersky.Com. https://www.kaspersky.com/resource-center/threats/malware-protection (consulté le 16.05.2021) .

« Chaque mois, en Suisse, se produisent en moyenne 25 000 attaques de logiciels malveillants. » ⁷Ref. 1 .

Cadre juridique suisse

Le Code pénal suisse ⁸Code pénal suisse du 21 déembre 1937 (RS 311.0) prévoit plusieurs dispositions luttant contre les cybermenaces. Un acte de piratage informatique ou la diffusion d’un logiciel malveillant est considéré, en droit suisse, comme une atteinte au patrimoine. De ce fait, dans chaque cas, au moins une des infractions suivantes est remplie :

• Soustraction de données (art. 143 CP) ;
• Accès indu à un système informatique (art. 143^bis CP) ;
• Détérioration de données (art. 144^bis CP) ⁹Ref. 4 .

Souvent, les pirates ne se contentant pas d’avoir accès aux données et/ou à la machine, d’autres infractions sont commises concomitamment, par exemple l’escroquerie (art. 146 CP), l’extorsion et chantage (art. 156 CP) ou encore le blanchiment d’argent (art. 305^bis CP).

Influence de la Covid-19

Le Centre national pour la cybersécurité (National Cyber Security Centre – NCSC) est le centre de compétence de la Confédération en matière de cybersécurité ¹⁰Département fédéral des finances, D. (2021). Page d’accueil NCSC. Consulté 1 juin 2021, à l’adresse https://www.ncsc.admin.ch/ncsc/fr/home.html (consulté le 16.05.2021) . Ce dernier est responsable de la mise en œuvre de la stratégie nationale de protection contre les cyberrisques. Le NCSC permet à la population et aux milieux économiques de communiquer les cyberincidents afin d’obtenir des recommandations, de sensibiliser les autres acteurs et d’améliorer la lutte.

La pandémie de la Covid-19 a malheureusement augmenté considérablement les cyberincidents depuis 2020. En effet, les cybercriminels ont su s’adapter très rapidement à la situation afin de profiter de toutes les vulnérabilités. Par exemple, l’obligation du télétravail a fragilisé la sécurité informatique des entreprises.

Le rapport semestriel du NCSC du 10 mai 2021 ¹²Centre national pour la cybersécurité. (2021). Sécurité de l’information—Situation en Suisse et sur le plan international traite des principaux cyberincidents du deuxième semestre 2020 en Suisse et sur le plan international. Il fait de la santé numérique le thème principal, car elle génère de nombreux défis en raison des cybermenaces actuelles. En particulier, de nombreux hôpitaux ont été victimes de ransomware depuis le début de la crise de la Covid-19, par exemple la clinique universitaire de Düsseldorf, l’hôpital de Wetzikon (Oberland zurichois) ou encore le groupe Hirslanden qui possède 17 cliniques en Suisse ¹³Jaun, R. (2020). Cyberattaque contre les cliniques privées Hirslanden. ICTjournal. https://www.ictjournal.ch/news/2020-11-25/cyberattaque-contre-les-cliniques-privees-hirslanden (consulté le 16.05.2021) . Cette menace est existante dans les autres secteurs, mais les conséquences dans le domaine de la santé sont bien plus importantes : une perte de données sensibles et/ou une panne informatique peuvent mettre en péril la santé, voire la vie des patients. Le contexte imposé par la pandémie, c’est-à-dire l’engorgement du système sanitaire et l’urgence de la situation, a malheureusement augmenté la motivation des pirates.

Tillie Kottmann, un cas d’école ?

Ce jeune lucernois de 21 ans a défié la chronique en mars dernier dans le cadre de l’affaire Verkada. Tillie Kottmann a profité d’une faille de sécurité de l’entreprise Verkada Inc. pour consulter en direct les flux de plus de 150’000 caméras connectées à Internet. Ces caméras filmaient diverses installations, notamment des prisons, des hôpitaux, des entrepôts et des usines de grandes entreprises, comme Tesla. Le 9 mars 2021, Tillie Kottmann publie sur le réseau social Twitter des photos de ses trouvailles accompagnées par des messages alarmants ¹⁴Vincent, J. (2021, mars 19). ‘Anti-capitalist’ Verkada hacker charged by US government with attacks on dozens of companies. The Verge. https://www.theverge.com/2021/3/19/22339625/tillie-kottmann-swiss-hacker-verkada-charged-us-government-verkada (Consulté le 19.05.2021) .

Le 18 mars 2021, le Ministère public de l’Etat de Washington l’a inculpé pour « complot, fraude électronique et vol d’identité aggravé », ainsi il risque 20 ans de prison aux Etats-Unis en cas d’extradition. En Suisse, Tillie Kottmann risque entre trois et cinq ans de prison ¹⁶Atmani, M. (2021). Le hackeur suisse qui fait trembler les Etats-Unis | Illustré. L’Illustré. https://www.illustre.ch/magazine/le-hackeur-suisse-qui-fait-trembler-les-etats-unis (consulté le 16.05.2021) . Pourtant, selon ses dires, son groupe de pirates et lui auraient trouvé des identifiants administrateurs de l’entreprise publiquement exposés sur Internet, ce qui leur a permis d’accéder aux données. Ainsi, de par son esprit hacktiviste ¹⁷Contraction de hackeur et d’activiste et aucunement par un désir financier, il a publié les données confidentielles afin d’exposer les problèmes de sécurités des entreprises avant que d’autres personnes malintentionnées ne causent de plus grands dommages ¹⁸Ref. 14 .

Dans cet exemple, d’un côté, les autorités américaines mettent tout en œuvre pour obtenir justice et envoient indirectement un message aux pirates informatiques concernant les conséquences de leurs actes. De l’autre côté, à l’image des White Hat ¹⁹Hacker éthique ou expert en sécurité informatique qui teste les mesures de sécurité des entreprises , Tillie Kottmann démontre les problèmes de sécurité existants et le manque de prise en considération par certaines entreprises.

Conclusion

Les cybermenaces seront toujours un risque conséquent pour les entreprises privées et publiques. Dans la plupart des situations, l’ingénierie sociale, c’est-à-dire la manipulation psychologique, est la pratique la plus utilisée par les pirates informatiques pour arriver à leurs fins. Ainsi, comme l’humain est la vulnérabilité principale de ces cybermenaces et ayant connaissance de l’importance des dangers que cela représente, n’est-il pas important que chaque entreprise améliore sa propre sécurité ? De ce fait, il serait également intéressant de s’intéresser aux moyens mis en œuvre dans les entreprises pour la sécurité informatique.

Etant donné que les pirates informatiques n’ont pas de frontière dans leurs agissements, de nombreuses cybermenaces proviennent de pays étranger auxquelles les autorités suisses ne peuvent efficacement lutter. Malgré de grands moyens développés dans la sensibilisation et la lutte, la Confédération ne devrait-elle pas proposer une approche encore plus proactive pour réduire les dommages ?

A l’instar des sociétés d’audit ²⁰PricewaterhouseCoopers. (s. d.). Cybersecurity and Privacy. PwC. Consulté 1 juin 2021, à l’adresse https://www.pwc.ch/en/services/digital/cybersecurity.html (consulté le 16.05.2021) qui développent des conseils et outils pour améliorer la cybersécurité, il serait probablement efficace de mettre en place une entreprise étatique qui teste par mandat la sécurité informatique des acteurs économiques. Ainsi, cette idée, fortement inspirée par les White Hat, consiste à tenter par plusieurs procédés de pirater ou d’insérer un logiciel malveillant chez l’acteur ayant demandé le service. Les simulations et les exercices préventifs, effectués avec succès ou non, mettront en évidence les faiblesses spécifiques des acteurs économiques. Car au final, n’y a-t-il pas meilleur moyen pour être préparé à une situation que celle de l’avoir vécue auparavant ?

• 1
  Prévention Suisse de la Criminalité. (2021). SUPER – Sauvegarder Utiliser Protéger Equiper Reduire. https://www.s-u-p-e-r.ch/fr/ (consulté le 16.05.2021)
• 2
  Prévention Suisse de la Criminalité. (s. d.). Prévention Suisse de la Criminalité. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/ (consulté le 16.05.2021)
• 3
  Kaperski. (s. d.). CARTE | Carte des cybermenaces en temps réel. CARTE | Carte des cybermenaces en temps réel. Consulté 1 juin 2021, à l’adresse https://cybermap.kaspersky.com/fr (consulté le 16.05.2021)
• 4
  Prévention Suisse de la Criminalité. (s. d.). Piratage + logiciels malveillants. Prévention Suisse de la Criminalité. Consulté 1 juin 2021, à l’adresse https://www.skppsc.ch/fr/sujets/internet/piratage-logicielsmalveillants/ (consulté le 16.05.2021)
• 5
  Red Hat, Inc. (2021). Un logiciel malveillant, qu’est-ce que c’est ? https://www.redhat.com/fr/topics/security/what-is-malware (consulté le 16.05.2021)
• 6
  Kapersky Lab. (2021). How to get rid of malware? Www.Kaspersky.Com. https://www.kaspersky.com/resource-center/threats/malware-protection (consulté le 16.05.2021)
• 7
  Ref. 1
• 8
  Code pénal suisse du 21 déembre 1937 (RS 311.0)
• 9
  Ref. 4
• 10
  Département fédéral des finances, D. (2021). Page d’accueil NCSC. Consulté 1 juin 2021, à l’adresse https://www.ncsc.admin.ch/ncsc/fr/home.html (consulté le 16.05.2021)
• 11
  Département fédéral des finances. (2021). Chiffres actuels. https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html (consulté le 16.05.2021)
• 12
  Centre national pour la cybersécurité. (2021). Sécurité de l’information—Situation en Suisse et sur le plan international
• 13
  Jaun, R. (2020). Cyberattaque contre les cliniques privées Hirslanden. ICTjournal. https://www.ictjournal.ch/news/2020-11-25/cyberattaque-contre-les-cliniques-privees-hirslanden (consulté le 16.05.2021)
• 14
  Vincent, J. (2021, mars 19). ‘Anti-capitalist’ Verkada hacker charged by US government with attacks on dozens of companies. The Verge. https://www.theverge.com/2021/3/19/22339625/tillie-kottmann-swiss-hacker-verkada-charged-us-government-verkada (Consulté le 19.05.2021)
• 15
  Seydtaghia, A. (2021, mars 16). Comment un Suisse a piraté Tesla et des prisons américaines. Le Temps. https://www.letemps.ch/economie/un-suisse-pirate-tesla-prisons-americaines (consulté le 16.05.2021)
• 16
  Atmani, M. (2021). Le hackeur suisse qui fait trembler les Etats-Unis | Illustré. L’Illustré. https://www.illustre.ch/magazine/le-hackeur-suisse-qui-fait-trembler-les-etats-unis (consulté le 16.05.2021)
• 17
  Contraction de hackeur et d’activiste
• 18
  Ref. 14
• 19
  Hacker éthique ou expert en sécurité informatique qui teste les mesures de sécurité des entreprises
• 20
  PricewaterhouseCoopers. (s. d.). Cybersecurity and Privacy. PwC. Consulté 1 juin 2021, à l’adresse https://www.pwc.ch/en/services/digital/cybersecurity.html (consulté le 16.05.2021)