Avant, on parlait des attaques informatiques sur des serveurs Web ou sur un réseau d’entreprise pour avoir ses informations. Maintenant avec la 4G, l’Internet of Things et le cloud, ces attaques sont devenues plus sophistiquées au point de toucher à l’espionnage d’Etat dans un contexte géopolitique assez chaud. En plus des vulnérabilités qui touchent au réseau de l’opérateurs, ses clés 3G/4G et ses cartes SIM (lire notre article), le salarié au sein de l’opérateur lui même peut-être la source de la faille.
Avant, on parlait des attaques informatiques sur des serveurs Web ou sur un réseau d’entreprise pour avoir ses informations. Maintenant avec la 4G, l’Internet of Things et le cloud, ces attaques sont devenues plus sophistiquées au point de toucher à l’espionnage d’Etat dans un contexte géopolitique assez chaud. En plus des vulnérabilités qui touchent au réseau de l’opérateurs, ses clés 3G/4G et ses cartes SIM (lire notre article), le salarié au sein de l’opérateur lui même peut-être la source de la faille.
«Parfois il suffit de mettre une clé USB dans une machine pour déclencher une opération d’attaque», a tenu à rappeler Naoufel Frikha, DG de l’Agence Nationale de Sécurité Informatique (ANSI) lors de la Security Day by TT qui s’est déroulé le jeudi 23 février dans un hôtel de la banlieue de Tunis. «Donc si un employés se voit offrir gratuitement une clé USB qui ne provient pas de l’entreprise, il se peut que celle-ci soit un piège. «Il y a même des mails avec des fichiers que lorsqu’on les ouvres, ils chiffrent toutes les données de leur disque dur. J’en connais des Tunisiens qui se sont fait avoir. Et même en payant la rançons, ils ont perdus toutes leurs données. Donc faites très attentions. Et je m’adresse surtout au Top management». Mis à part le fait de prendre ses précautions, il suffit de classifier ses données par ordre d’importance et de sensibilité ainsi que de les mettre dans différents supports sécurisés.
Le DG de l’ANSI n’a pas manqué l’occasion pour rappeler à un parterre composé essentiellement de cadres de Tunisie Telecom venus à cette journée d’étude, que les attaques informatiques sont devenues tellement complexes et sophistiquées qu’ils rentrent désormais sous la catégorie de l’espionnage d’Etat et de guerre entre les pays. Il a ainsi rappelé, articles de presse à l’appuie, les moult exemples de malwares et d’attaques qui ont ciblé quelques pays comme l’Iran, les USA, etc.
Or, un opérateur télécom dont le réseau est présent sur tout le territoire, est la porte dorée pour mener ce genre d’attaque. Et même si on a tendance à penser que la Tunisie n’est qu’un petit pays où ce genre d’opération relève de la science fiction, il y a des éléments qui prédisent l’inverse. «Devant vous la courbe des attaques recensés par l’ANSI courant 2016. Comme chaque année, il y a recrudescence des menaces informatiques vers le mois d’avril et de mai», a commenté Naoufel Frikha. «Il y a de fortes chances qu’en 2017 cette courbe va changer avec des pics vers la fin d’année avec l’approche des élections municipales».
Qui dit élections municipales, dit données privées. Ainsi, une base de donnée client peut-être une mine d’or pour chaque parti politique afin de faire ses campagnes de propagande, surtout à la veille des élections, pendant le silence électoral. «Or, même dans les conditions générales de vente des opérateurs en Tunisie il n’y a pas de case à cocher pour dire que mes données personnelles peuvent être communiqués à des tiers», s’est étonné pour sa part Chawki Gaddes, Président de l’Instance Nationale de Protection des Données Privées qui était également présent lors de cette journée. «Il n’y a pas non plus une case que je peux cocher pour dire que j’ai le droit d’opposition et que j’ai le droit de porter plainte en cas où si on utilise mes données personnelles à mon insu».
M. Gaddes a ainsi pris l’exemple des SMS de Spamming qui bombardent les abonnés sans que ces derniers puissent y mettre fin. «Or l’opérateur doit donner le droit à l’abonné d’arrêter ces SMS de Spam par un envoie d’un SMS de réponse où y est écrit STOP. Et ce SMS doit être absolument gratuit pour le client». Chose qui, clairement, n’est pas possible à l’heure actuelle chez aucun des opérateurs tunisiens. Il s’est par ailleurs étonnés que l’instance n’ait reçu aucune plainte dans ce genre de la part des citoyens bien qu’ils n’arrêtent pas de le dire à haute voix sur les réseaux sociaux et dans les cafés. «C’est parce que la Tunisien n’a pas encore la culture de porter plainte à propos de ses droits. Je leur dit par ailleurs si l’Instance reçoit 100 plaintes de ce genre, là on pourra déposer l’affaire en pénal. Malheureusement, je ne peux pas faire ce travail à la place des citoyens car il me faut une étude dont j’en ai pas les moyens. Mais ceci ne veut absolument pas dire que le Tunisien n’est pas sensible à cet aspect de la donnée privée. Du coup, aucun opérateur ne doit attendre qu’il y ait des plaintes pour changer ses contrats de vente et donner le droit d’opposition au client pour gagner sa confiance», a-t-il conclut.
Welid Naffati
A lire également :
Une attaque cybernétique qui vise un opérateur télécom peut mettre à genoux un pays
