| LACTU

Hacktivistes,

Monaco menac ?
SOCIT/Attaque de sites gouvernementaux, diffusion

dinformations personnelles Les hacktivistes font de plus en plus parler deux. Alors que Monaco est souvent vu comme un symbole du capitalisme, la principaut est-elle protge ?
de la communication. Du coup, ils dtestent Hadopi et refusent le flicage de Facebook. Et ils sengagent politiquement. Exemple : les hacktivistes sont intervenus lorsque Bachar El Assad, Moubarak ou Ben Ali ont coup Internet. Car ils nhsitent pas sopposer aux gouvernements et aux entreprises. Et mme les multinationales ne leur font pas peur.

P
I

as toujours facile de distinguer les hacktivistes des simples pirates du web, spcialiss dans le pillage, la destruction ou le dtournement dargent. En rsum, ces hackers thiques , issus de la contraction de hackers et d activistes , militent pour la libert autour des technologies de linformation et

CYBERDISSIDENCE

G20

DISCRET/Certaines attaques consistent seulement copier discrtement certaines informations, sans les dtruire. Rsultat, difficile de sapercevoir de lintrusion dans des fichiers que lon continue croire totalement scuriss.

> Un soutien actif

mpliqu auprs des cyberactivistes tunisiens ds 2009, le chef dentreprise et prof de Sciences Po Paris, Fabrice Epelboin raconte : Je leur ai apport un soutien actif. Une fois dbarrass de Ben Ali, jai continu sur la plupart des oprations hacktivistes lies au Printemps arabe. En particulier sur le chapitre qui consiste contrer loppression faite au moyen de technologies numriques de surveillance de masse, travers la mise en lumires des complicits entre diffrentes dictatures et des entreprises occidentales, comme Nokia, Bull, Microsoft, Qosmos, Bluecoat, etc.
_R.B.

En tout cas, cest un symbole popularis par le cinma amricain que certains hacktivistes, appels les Anonymous, ont choisi comme signe dappartenance : le masque de Guy Fawkes, ce catholique anglais vu dans le film de James McTeique, V pour Vendetta (2006). Si la discrtion et lanonymat restent leur marque de fabrique, ces hacktivistes ne doivent pas tre imagins comme une communaut unie. Mais plutt comme une multitude de groupes et dindividus diffus qui se rejoignent parfois sur certains sujets. Exemple : aux Etats-Unis, les Anonymous ont soutenu le mouvement Occupy Wall Street. Une certitude, aujourdhui, comme la socit de linformation repose de plus en plus sur linformatique et

les rseaux, les hacktivistes ont une relle force de frappe. Et bien sr, Monaco nest pas labri. Surtout avec la crise qui frappe lEurope et les EtatsUnis. Dailleurs, jeudi 3 novembre, en marge du G20 de Cannes, des militants anti-paradis fiscaux ont dfil Cap dAil. 320 altermondialistes, parmi lesquels peut-tre des hacktivistes. Si, pour le moment, les sites du gouvernement mongasque nont pas t attaqus, certains ont eu moins de chance. Lhbergeur du site consacr Sainte Dvote, qui nest pas en principaut, a t pirat. Rsultat, le site sest retrouv avec une page daccueil avec des messages hostiles Isral, la France et aux Etats-Unis. En fait, un hacker a supprim la page daccueil du site pour insrer une autre

36

LObservateur de Monaco /105 _Dcembre 2011

page , raconte le directeur adjoint en charge de la direction informatique, Roland Biancheri. Inquitant, alors que Monaco va lancer en dbut danne un portail internet, avec des serveurs installs la direction de linformatique ? Pas question de cder la panique du ct de la principaut. Comme il y a surtout des informations consultables par tous sur les sites du gouvernement, il ny a pas dinquitude particulire avoir quant au piratage de donnes , estime Biancheri. Sur les sites du gouvernement, il ny a aucune information sensible , confirme Christine Sosso-Harl, directeur de ladministration lectronique et de linformation aux usagers.

Syrie

Un discours trs positif qui ne garantit bien sr pas une invulnrabilit totale. Ce que confirme dailleurs Roland Biancheri : La scurit 100 %, cest impossible. Car il y a toujours un risque de faille un moment ou un autre. Do la ncessit de rester toujours vigilant. Le problme, cest quil y a toujours des failles. Notamment dans des logiciels quon suppose btons et qui ne le sont pas toujours. Dailleurs, parfois, certains hackers sont devenus des experts pour les diteurs de logiciels qui les ont incorpors dans leurs quipes.

Assez rvlateur du degr dexpertise dtenu par certains hacktivistes. En tout cas, la refonte des sites internet du gouvernement en dbut danne ne semble pas inquiter les services de lEtat. Il nest jamais trop tard pour se lancer dans le bain de linnovation. Ceci dit, le problme nest pas l. Lancer ou ne pas lancer ce service ne changera strictement rien , estime Fabrice Epelboin, consultant en risque informationnel, hackjournalist et enseignant Sciences-Po. Impliqu auprs des cyberactivistes en Tunisie et en

Les hacktivistes nhsitent pas sopposer aux gouvernements et aux entreprises. Mme les multinationales ne leur font pas peur
LObservateur de Monaco /105 _Dcembre 2011

Photo DR

37

| LACTU
Syrie (voir encadr), Epelboin estime quavec llection prsidentielle de 2012, il ne serait pas tonnant que de nouvelles cyber-actions aient lieu dans les semaines venir. Du coup, en principaut, on prfre prvoir le pire. Histoire de rester vigilant. Jusqu prsent ladministration a son propre rseau en interne. Avec des portes vers Internet. Mais des portes protges bien entendu. Sachant que ces protections voluent en permanence. Ce qui permet de protger nos serveurs , explique Roland Biancheri. Avant dajouter : Les serveurs sont dupliqus sur des sites diffrents. Ce qui vite les risques de destruction. Cest un peu comme si on avait la fois une ceinture et des bretelles. Prudent, mais pas suffisant pour garantir une scurit

Destruction

INTERNET

> Nouveaux services

Il ne faut pas confondre le fait que Monaco nait pas t attaqu avec le fait que pour linstant, vous ne vous tes aperu de rien. Sinon vous faites preuve dune trs grande confiance en vous. Ce qui me semble particulirement dangereux.
totale. Car les hacktivistes sont non seulement dexcellents techniciens bien informs mais, potentiellement, ils peuvent tre partout. Dailleurs, dbut novembre, des donnes personnelles concernant prs dun millier de membres de lUMP, notamment des ministres, des snateurs et des dputs, ont t rendus public sur Internet. Adresses personnelles, coordonnes tlphoniques, rien na chapp aux hacktivistes. Objectif : protester contre les atteintes aux liberts individuelles faites, selon eux, par lUMP. Fin novembre, ce sont les profils de 1 800 jeunes militants de lUMP du Haut-Rhin, qui ont t dtourns. Epelboin. Pour cet expert, il ne faut pas confondre le fait que Monaco nait pas t attaqu avec le fait que pour linstant, vous ne vous tes aperu de rien. Sinon vous faites preuve dune trs grande confiance en vous. Ce qui me semble particulirement dangereux. Car certaines attaques consistent seulement copier discrtement certaines informations, sans les dtruire. Rsultat, difficile de sapercevoir de lintrusion dans des fichiers que lon continue croire totalement scuriss. Mais Roland Biancheri prfre rester optimiste : Si comme lEstonie, Monaco devient un jour un pays en grande partie gr par des systmes informatiques, alors la principaut devra tre encore plus vigilante. Puisque Monaco pourrait alors tre partiellement paralys, si une attaque se rvle efficace. Mais ce nest pas du tout le cas aujourdhui. Jusqu quand ?
_RAPHAL BRUN

enace hacktiviste ou pas, dbut 2012, le gouvernement mongasque va revoir en profondeur sa prsence sur Internet, comme la confirm LObs Christine SossoHarl, directeur de ladministration lectronique et de linformation aux usagers : Un ensemble de nouveaux sites gouvernementaux sera lanc en dbut danne. Avec de nouveaux services qui iront au del du simple paiement en ligne. Notamment la possibilit de postuler sur les offres demplois de ladministration, le dpt doffres demplois par les entreprises prives ou laccs une bourse dchanges dappartements pour les appartements domaniaux. Bref, le nombre de procdures sera dmultipli. En fait, il y a aura un portail disponible ladresse www.gouv.mc partir duquel on pourra rayonner sur dautres sites et accder beaucoup dinformations.
_R.B.

Dangereux

Des actions concrtes qui dmontrent quavec la multiplication des fichiers informatiques, le nombre de failles explose aussi. Et encore, a nest que la partie merge de liceberg, comme lexplique

38

LObservateur de Monaco /105 _Dcembre 2011

Photo DR

 La scurit 100% nexiste pas

FABRICE EPELBOIN, CHEF DENTREPRISE, COFONDATEUR DE LASSOCIATION TUNISIENNE DES LIBERTS NUMRIQUES (ATLN.INFO), PROFESSEUR SCIENCE PO PARIS ET SPCIALISTE DU WEB SOCIAL, ANALYSE POUR LOBS LE PHNOMNE HACKTIVISTE.

Quest-ce qui est dangereux alors ? Le fait que les mthodologies algorithmiques utilises dans le flash trading (2) soient conues par des hackers. Et quon soit arriv aujourdhui un taux de 90 % dordres de bourses annuls, passs dans le seul but de fausser les analyses faites par les algorithmes des concurrents. Ou bien le fait quun cours de bourse ait jusqu 5 000 cotations par seconde. Dautres sources dinquitudes ? 70% des changes financiers sont raliss par des machines. Or, si on rapporte a tout ce que la science-fiction nous a prdit, notamment dans des films comme Matrix, Terminator ou Metropolis, partir du moment o on confie le monde des machines, on saperoit que Monaco nest vraiment pas le problme. Comment tre sr que les sites gouvernementaux mongasques nont jamais t attaqus ? Il ne faut pas confondre le fait que Monaco nait pas t attaqu avec le fait que, pour linstant, vous ne vous tes aperu de rien. A linverse, si Monaco redoute une attaque qui consisterait remplacer le contenu dun site institutionnel mongasque par un message de revendication, ce quon appelle un defacing, tranquillisez vous. Ce nest pas grave du tout, car cela naura aucune consquence significative. Alors que Monaco a t rcemment cibl par des groupes daltermondialistes en marge du G20, la menace est devenue plus forte ? Il faut faire attention ce quon qualifie de menace. Par exemple, le defacing de site web, qui consisterait donc afficher un message de revendication sur un site gouvernemental mongasque, nest pas une menace. Au fond, cela sapparente un tag fait la peinture sur la faade de lHtel de Paris. Bref, rien de bien grave. En revanche, le fait que les contenus numriques de 7 ministres franais aient t drobs le 13 septembre 2010 dans lindiffrence gnrale, cest autrement plus consquent.

Pourquoi les sites du gouvernement mongasque nont jamais t attaqus ? Je suis bien plus proccup par le trading haute frquence (1) ou lhyper mathmatisation des produits financiers que par le luxe qui fait de Monaco un symbole. Ce ne sont

Photo Chris Heuer

pas les encombrements de Ferrari devant lHtel de Paris qui me posent problme. Dailleurs, jai moi mme particip ces excs quand mon entreprise tait cote en bourse. Cest superficiel, mais ce nest pas spcialement dangereux pour lavenir de lhumanit.

LObservateur de Monaco /105 _Dcembre 2011

39

| INTERVIEW
Et les 156 pages restantes ? Le contenu des 156 bases de donnes non rendues publiques est sans doute plus compromettant. Mais il sagit dune opration parfaitement contrle, qui se veut un avertissement. Dailleurs, cet acte est trs reprsentatif de la ralit de ces attaques. Car trs peu des informations drobes sont en ralit publies. En fait, elles sont stockes et partages au sein de petits groupes dans des systmes dinformations qui ne sont pas le web. Ensuite, ces informations servent, selon les milieux dans lesquelles elles tombent, des activits varies. Comme linvestigation journalistique, quon appelle alors aussi hack journalisme et que je pratique. Ou des activits plus discutables, que je rprouve, comme le chantage, lintelligence conomique, lespionnage... Comment un Etat comme Monaco peut se protger des hacktivistes ? Le fantasme de la protection absolue est un leurre. Parce que la scurit 100% nexiste pas. Au fond, cest un concept, une limite thorique, purement abstraite. Car si des hacktivistes arrivent prendre le contrle des infrastructures syriennes, tout est possible. Mme si ces infrastructures sont bases sur une technologie amricaine, et que le rgime de Bachar el-Assad, qui ne manque pas de moyens, a dpens des sommes folles. Vraiment impossible de parvenir se protger alors ? La course la scurit est un pige tendu par les hacktivistes eux-mmes. Il faut savoir que tout accroissement de la scurit de linformation se paie, entre autre, par un ralentissement des flux dinformation. Mais aussi par une moindre diffusion de ces flux. Ce qui se traduit par une diminution de lefficacit du systme et une perte de rendement. Or, dans le systme financier actuel qui sanctionne durement toute baisse de performance, cest la mort assure. La logique nest pas la mme dans le monde virtuel dinternet ? Le vol nexiste pas proprement parler dans le virtuel. Exemple : si je vide les coffres de la banque, elle va sapercevoir

HACK / Ces informations servent, selon les milieux dans lesquelles elles tombent, des activits varies. Comme linvestigation journalistique, quon appelle alors aussi hack journalisme. Fabrice Epelboin. Prof Sciences Po Paris. Expert du web social.

Lorigine des hacktivistes ? Le 16 octobre 1989, Julian Assange, qui lancera 15 ans plus tard Wikileaks, a infect les ordinateurs du centre spatial Kennedy avec un ver informatique conu pour protester contre la prolifration du nuclaire. Mais en cherchant un peu, on trouve des activits de hacktivistes bien avant cette date. Et si on regarde de prs qui a conu et dvelopp linternet, on remarque que ce sont ces mme personnes qui ont conu le rseau et dvelopp ses principaux usages...

Aprs la diffusion sauvage dinformations personnelles de cadres de lUMP dbut novembre, quelles informations sensibles doit absolument parvenir protger un Etat comme Monaco ? Dabord, cette diffusion est tout sauf sauvage. Sur les 160 bases de donnes pour lesquelles les hackers ont mis en vidence des failles critiques, seules 4 ont t diffuses. Exemple : les mots de passe de lintranet de lAssemble Nationale nont

Remplacer le contenu dun site institutionnel mongasque par un message de revendication, ce nest pas grave
Dailleurs, Steve Jobs a lanc Apple en commercialisant des Blue Box, un petit appareil conu pour pirater les lignes tlphoniques. Alors que les algorithmes qui ralisent le flash trading sont conus par des hackers dont la plupart partagent les idaux que je dfends. Comme le droit linformation et la transparence. pas t diffuss. Et seuls certains experts ont pu reprer des informations vritablement compromettantes dans ces donnes. Comme le fait que lemail utilis par un cadre de lUMP est aussi celui utilis pour recevoir les rponses certains appels doffres du ministre de la dfense franais pour des contrats darmement en Afrique.

40

LObservateur de Monaco /104 _Novembre 2011

dun vide. Mais si je duplique les flux dinformations de cette banque, elle les possdera toujours. Du coup, la banque ne verra peut tre rien. De la mme faon, si on duplique un fichier mp3, on ne le vole pas. Bref, tout cet univers est rgi par des lois qui sont tellement loignes du monde rel que lapprhender avec les savoirs du pass est la meilleure faon de ny rien comprendre.
Alors que les cyber attaques se multiplient, cest risqu de lancer des services de paiement en ligne comme le fait le gouvernement mongasque ? Je nai pas connaissance de ces services. Mais jaurais tendance dire quil nest jamais trop tard pour se lancer dans le bain de linnovation. Ceci dit, le problme nest pas l. Lancer ou ne pas lancer ces services ne changera strictement rien. Les cyber attaques vont augmenter en France ou Monaco ? Je nai pas constat de recrudescence des attaques en France. En fait, ce qui volue, cest le bruit mdiatique quelles gnrent. Si on reprend lexemple des annonces faites le 13 septembre 2010 sur ReadWriteWeb France, qui annonait que 6 ministres franais avaient vu leur patrimoine informationnel drob, il faut rappeler quil y a peine plus dun an, cette information navait pas gnr le moindre article dans la presse. Or, si cela arrivait nouveau demain, a ferait louverture du 20h. Faut-il en dduire une hausse des attaques ou un affolement de la presse ? Vraiment aucune hausse ? Comme les mdias, le monopole des marchands de scurit informatique sur ce type dinformation, dont ils sont les principaux producteurs dtudes en tout genre, est aussi un mauvais outil de mesure. Car ils ont intrt convaincre dune recrudescence du danger pour inciter acheter leurs services. Au fond, la ralit cest que cela a toujours t ainsi depuis longtemps. Et que ce qui est visible aujourdhui se prpare depuis le dbut des annes 2000.
_PROPOS RECUEILLIS PAR RAPHAL BRUN

CONTROLE / Si des hacktivistes arrivent prendre le contrle des infrastructures Syriennes, tout est possible. Mme si ces infrastructures sont bases sur une technologie amricaine, et que le rgime de Bachar el-Assad, qui ne manque pas de moyens, a dpens des sommes folles. Fabrice Epelboin. Prof Sciences Po Paris. Expert du web social.

Le fait que les contenus numriques de 7 ministres Franais aient t drobs le 13 septembre 2010 dans lindiffrence gnrale, cest autrement plus consquent
(1) Le high frequency trading ou trading haute frquence, repose sur des oprations boursires algorithmiques ralises des vitesses proches de celle de la lumire. (2) Le flash trading est une technique qui offre certains courtiers, moyennant des frais, un accs aux ordres dachats ou de ventes dactions quelques millisecondes avant les autres investisseurs. Ce qui leur permet de passer des ordres en anticipant les mouvements dun titre.

Photo DR

LObservateur de Monaco /104 _Novembre 2011

41