Rachid Harrando et Nabil Ouchn sont deux ingénieurs marocains experts en cybersécurité. Ensemble, ils dirigent l’entreprise NETPeas et ont fondé en juin dernier la Computer Security Incident Response Team (CSRIT/CERT). Un nom barbare qui désigne un organisme officiel chargé d’assurer les services de prévention des risques, repérer les failles de cybersécurité, alerter les entreprises et les institutions mais aussi réagir aux attaques... Au fond, ce sont des patrouilleurs et des vigies dans les territoires numériques où ils y croisent hackers, espions, cyberbraqueurs et institutions plus ou moins bien protégées voire désarmées. Leurs alertes sont visibles par tous sur internet. Et lorsqu’ils découvrent que des serveurs marocains sont utilisés pour lancer une offensive sur une banque postale française, ils sonnent le tocsin et collaborent avec leurs homologues français. Ils sont en train de faire du Maroc la nouvelle place forte visible en matière de cybersécurité. Mais dans un environnement que certains experts n’hésitent pas à qualifier de cyberguerre, ces pionniers marocains de sécurité informatique dérangent. Le mois de leur lancement, en juin dernier, ils ont subi plus de 11 300 attaques en provenance principalement du Maroc. Objectif : paralyser leur activité. Rencontre avec l’expert en cybersécurité marocain Nabil Ouchn.
Le CERT-NETpeas est le premier projet de cette nature en Afrique, comment est-il né ?
Nous sommes nés face à la montée des cyber-attaques et la volonté du Maroc de se doter d’un environnement numérique adéquat . Nous répondons à l’une des directives énoncées dans le cadre de la confiance numérique et la sensibilisation à la sécurité du ystème informatique. Nous avons jugé utile d’avoir une entité centrale privée pour faciliter la compréhension des risques informatiques par les sociétés marocaines. Le CERT.org fournit tout le matériel nécessaire pour répondre aux incidents de sécurité qui demandent un niveau de connaissance élevé. Le CERT met à la disposition des équipes CSIRT toute une infrastructure pour mener à bien cette tache.
Pourquoi avoir rattaché le CERT à votre entreprise ?
C’est une initiative propre à NETpeas. C’est la division qui veille et enquête sur les différentes remontées d’attaques en mettant à contribution nos infrastructures et notre personnel. Mais ce n’est pas un CERT National public. Ce dernier est en cours de préparation par le ministère marocain du Commerce, de l’industrie et des nouvelles technologies
Comment fonctionne ce CERT ?
Le CERT NETPEAS, basé à Casablanca, analyse les principales menaces cybersécuritaires du moment pour alerter ses clients potentiels. Certaines attaques nous sont rapportées par plusieurs « hackers en herbe » marocains qui s’investissent dans cette démarche et rendent service aux sociétés incriminées. Le chercheur marocain en cybersécurité Youssef Manar gère les alertes au quotidien. Il analyse les incidents et autres vulnérabilités envoyées par quelques bons hackers marocains.
L’essentiel de votre activité réside dans la veille mais avec quels outils ?
Oui énormément de veille et d’analyse car au fond, c’est le cœur du métier. Nous nous basons sur les outils d’investigations numériques qui consistent à rechercher des traces laissées par les pirates lors des attaques. Nous donnons ensuite un « tutorial » détaillé à l’équipe technique pour corriger les failles identifiées.
Qui vous paie ?
Quelques clients abonnés discrets ce qui nous permet de recruter de bons éléments pour étoffer nos équipes. Nous réfléchissons au lancement d’un centre de monitoring un peu comme dans les films, avec de beaux écrans géants et des trucs qui flashent dans tous les sens.
Qui sont vos « ennemis » sur les territoires numériques ?
Nous n’avons aucun ennemi. Notre travail n’est pas de traquer ceux qui commettent les délits informatiques. C’est le travail de la police technique. Nous aidons tout simplement les entreprises qui se font pirater..
Qui alertez-vous lorsque vous découvrez une attaque ?
Nous remontons l’alerte aux staffs techniques des entreprises comme les responsables de sécurité et les directeurs de sécurité informatique. Personnellement, j’ai beaucoup d’amis qui occupent ces postes car la plupart ont commencé comme moi dans l’informatique et la sécurité il y’a plus de 15 ans. Donc ça facilite un peu les relations humaines.
Comment êtes-vous perçu par les grandes entreprises et les Etats ?
Nous avons une excellente relation avec les personnes qui s’occupent - ou plutôt vont s’occuper du CERT National Marocain. Les sociétés sont naturellement contentes. Car nous les aidons à comprendre leurs failles et la bonne approche pour mitiger certains risques.
Quel est l’enjeu de la cybersécurité en Afrique ?
Il y a un retard. La fièvre de la sécurité informatique est arrivée chez nous il y a quelques années alors que les Américains et l’Europe sont déjà dotés de lois et de méthodes contre la cybercriminalité.
Parlez vous de « cyberguerre » ?
Sun Tzu l’a évoqué dans son fabuleux livre « art de la guerre » et Internet est un terrain idéal pour préparer des attaques de type guérilla urbaine numérique. Ceux qui maitrisent ce terrain auront toujours une longueur d’avance. D’ailleurs, on le voit, la cybercriminalité génère des milliards de dollars de profit. La crise économique qui a touché toute la planète n’a fait que booster cette pratique et vous pouvez débusquer de temps à autre des « offres d’emploi » visant à développer des outils pour pirater facilement tels que des mouchards ou des chevaux de Troie sophistiqués qui permettent de prendre le contrôle d’un ordinateur et d’un système informatique.
En Afrique, le Nigéria est particulièrement exposé à la cybercriminalité et nombre d’acteurs y sont basés...Quels sont les pays d’Afrique les plus offensifs et les plus vulnérables en terme de cyberattaque, cyberdélinquance, cyberespionnage ?
Exact pour le Nigéria. On les appelait à une certaine époque les « Nigerian Scams ». Ils opéraient depuis la Hollande car il y’a quelques années le réseau informatique africain était déplorable. En fait, il n’y a pas de pays plus vulnérable que l’autre. Il n’y a pas de frontière dans la cybercriminalité. Il faut juste savoir qu’ils vont toujours commencer par s’implanter dans les pays qui ne sont pas dotés de lois claires sur la sécurité informatique. Du coup, ils peuvent échapper aux sentences impressionnantes que certains Etats aux USA appliquent à présent.
L’internet est en pleine évolution en Afrique, mais la cybersécurité semble avoir encore été un peu délaissé, quels sont les risques pour le réseau ?
Le risque numéro 1 réside dans la fragilité du réseau et un terrain propice aux rebonds vers d’autres pays. Les cybercriminels redirigent leur attaques via une partie des réseaux africains. Pas de CERT, pas de lois, très peu de consultants techniquement qualifiés : c’est l’aubaine rêvée !!!
Quelles sont les armes utilisées par les pirates ?
Les cybercriminels ont plus d’une technique pour déstabiliser les entreprises. Les refus de service (DDOS) et le vol d’information par le biais de techniques d’intrusions (malware, exploitation de vulnérabilité... etc) par exemple. Mais il faut aussi comprendre le mobile derrière chaque attaque, les motivations et les particularités. Toutes les intrusions ne sont pas médiatisées. Ce que la presse relate n’est que le fruit de « Script Kiddies » qui s’amusent à barbouiller les sites et à diffuser les numéros de téléphones des actrices de Hollywood. Mais ceux qui sont vraiment à craindre sont les vrais professionnels que peu de gens connaissent en réalité. J’ai eu à discuter avec des grands hackers américains lors de la session Blackhat 2011 à Las Vegas et ils m’ont relaté certains faits époustouflants. Ca dépasse même la fiction !!!
Et lorsque les Etats eux-mêmes attaquent via leur armée éléctronique ?
Comme je l’ai dit : Internet est un terrain de guerre. Un général qui n’a pas lu « l’Art de la Guerre » doit penser à se convertir en livreur de Pizza. Tous les Etats (ou ceux qui le peuvent techniquement) sont impliqués dans une guerre numérique. Je vous conseille de regarder le Film « Die Hard 4 » pour bien comprendre un peu cette manipulation que nous subissons de la part des médias. Le jeune hacker a vraiment raison sur (presque) tous les points.
Comment êtes-vous perçu dans l’univers des hackers ?
Nous sommes neutres et par ailleurs, j’ai beaucoup d’amis qui sont des hackers dits malveillants. Nous entretenons des relations d’amitié et de respect. En tout cas, il ne faut surtout pas s’attirer les foudres de ces gens... A Malin, malin et demi !
Pouvez-vous raconter trois exemples très concrets de cas identifiés et révélés par le CERT-NETpeas ?
Nous avons été les premiers à relater une divulgation de mots de passe d’entités gouvernementales marocaines via Twitter. C’était l’acte de l’un des membres des Anonymous. Nous avons bien sur alerté immédiatement toutes les personnes incriminées. Notre rôle s’est arrêté la. Nous n’avons pas cherché à savoir qui se cachait derrière la personne. Dernièrement, nous avons également remonté une alerte de type « critique » au niveau de l’US-CERT suite à une vulnérabilité identifiée dans un logiciel utilisé par toutes les compagnies aériennes du monde (divulgation de noms de pilotes, itinéraires etc etc). Si ces informations tombaient entre les mains de personnes malveillantes, je ne veux même pas penser aux conséquences !!! On a identifié plusieurs attaques « Phishing » émanant du Maroc qui ont été traitées en direct avec nos amis de deux CERT français. Cela a abouti à temps à la fermeture de ces sites.
Comment voyez-vous l’avenir de la sécurité et les rapports de force sur les territoires numériques ?
La sécurité sera un passeport obligatoire pour errer de territoires en territoires et cela passera par le déploiement d’infrastructures : les Etats vont rendre obligatoire un « security seal » à toute personne qui souhaitera connecter un ordinateur ou un serveur à internet. En gros, vous devrez passer un examen pour juger si votre système est sécurisé (audit de vulnérabilités, antivirus, malware, hardening etc etc). Bien entendu ce n’est qu’une vision apocalyptique mais attention, on s’en rapproche. Hadopi en France voulait rendre obligatoire des mouchards. On y arrive petit à petit.
Joan Tilouine
(Source : Africa Tech, 11 septembre 2011)
##L’opération Zimbabwe des Anonymous vue par un expert en cybersécurité}}
Basé en France, le CERT-Lexsi, qui travaille et collabore avec le CERT-NETpeas, pointe parfois des exemples édifiants. En janvier 2011 quand les Anonymous décident d’attaquer la Tunisie, Gwendal Delcros l’expert en cybersecurité du CERT-Lexsi raconte l’attaque simultanée contre le Zimbabwe et plusieurs de ses institutions en décembre 2010. Preuves à l’appui, il peut commenter.
« Il est réellement surprenant de voir comment une initiative lancée par un petit groupe d’individus, disposant d’effectifs réduits (les canaux de discussion concernés regroupaient lors de l’observation des événements moins de 300 individus), un moyen de communication unique (le canal de communication IRC utilisé par les Anonymous), et de modes d’action techniquement limités (le logiciel de déni de service LOIC simpliste, et ne fonctionnant a priori pas lors de cette attaque en mode coordonné « Hive Mind »), a pu aboutir au résultat technique souhaité et à une couverture médiatique plusieurs jours après les faits. »
Quelques jours plus tard la Tunisie était bloquée et plusieurs Anonymous allaient commencer à se faire arrêter...