La sécurité sur internet est au centre de tous les échanges depuis quelques années. Les enjeux sont énormes, car la plupart des plateformes impliquent l’exposition des données à caractère personnel. En Côte d’ivoire, les opérateurs fournissent des équipements de connexions au réseau mondial qui, dans certains cas, ne sont soumis à aucun suivi, ce qui expose leurs utilisateurs à des risques. Pour mieux comprendre cela, nous sommes allés à la rencontre de Christophe David, expert en sécurité informatique.
Responsable, intègre et calme, notre expert en sécurité informatique s’efforce de conseiller les entreprises pour une gestion fiable et économique de leurs outils informatiques et de leurs maintenances. Ce sujet, il ne le connaît que trop bien. Notre entretien commence avec un regard jeté de façon globale sur la sécurité informatique. Il commence par nous montrer des documents de défense en sécurité. Selon lui, la guerre n’est plus l’apanage des seules armes à feu, mais le domaine de l’informatique doit aussi être pris en compte. Plus loin il nous décrit comment une centrale nucléaire a été infectée par un virus alors que celle-ci n’était pas connectée à internet. Ainsi dit, le décor est planté. Nous pouvons maintenant aborder la problématique de la sécurité des usagers des services internet en Côte d’Ivoire.
Christophe David, expert en sécurité informatiqueLes FAI, premier garant de la sécurité
Les Fournisseurs d’Accès à Internet (FAI) sont l’interface entre l’internaute et la toile. De ce fait, ils sont tenus de lui assurer une certaine sécurité lorsque celui-ci se connecte à internet. Et le premier élément qui rentre en ligne de compte lorsque l’on veut accéder à internet est l’équipement d’accès (routeur, clé internet…).
En France par exemple, les opérateurs Free, Orange, Bouygues, etc construisent leurs propres équipements d’accès à internet ou du moins leurs propres interfaces de contrôle à distance. Ainsi, ces opérateurs ont la main mise sur ces équipements pour programmer des mises à jour de façon automatique. . En Côte d’Ivoire, la LiveBox 2, proposée par Orange Côte d’Ivoire pour l’ADSL, bénéficie de ces fonctionnalités hérité des réglementations européennes.
Pour ce qui est des autres routeurs, ce sont en général des boîtiers économiques non propriétaires qui sont utilisés en CI (comme l’ensemble des routeurs 3G/4G proposés). Les opérateurs n’étant pas les concepteurs de ces équipements ou interfaces, il leur est impossible de piloter les mises à jour à distance de façon automatique. Dans la pratique, c’est plutôt complexe pour un utilisateur lambda car il faut trouver et télécharger la dernière version du firmware (système d’exploitation du boîtier) bénéficiant de tous les correctifs en matière de faille de sécurité, et trouver, dans le menu du routeur, la page qui permet d’ordonner sa mise à jour via le firmware préalablement téléchargé… On comprend vite que ces manipulations impliquent que les routeurs hors de contrôle des FAI ne sont jamais mis à jours par les utilisateurs.
Selon Christophe David, cette tâche incombe aux opérateurs : « En Côte d’Ivoire, l’opérateur Yoomee, qui utilise des boîtiers économiques, envoie des mails à ses clients pour leur donner la procédure de mise à jour de leurs firmware [] Les autres Opérateurs 3G/4G vous donnent un boîtier avec votre abonnement et vous vous débrouillez sans information ni procédure ».
Mais dans le fond, quel est le véritable danger auquel le client est exposé si aucune mise à jour n’est faite ?
Lire aussi : Protection de données à caractère personnel, la difficile équation
La grande porte d’entrée
Il faut savoir que les routeurs sont comme des micro-ordinateurs, de ce fait, l’on est capable de leur « injecter » un micro-code afin de leurs demander de stocker des informations d’accès en mémoire. Notre expert nous fait comprendre comment cela peut être délicat : « supposons que vous vous connectiez à votre compte mail, à votre compte bancaire, tous vos mots de passe sont interceptés par le routeur. Le cybercriminel n’aura qu’à les récupérer par la même procédure et même vous empêcher d’accéder à vos différents comptes en changeant vos mots de passe. »
Pour ce qui est de la procédure à suivre pour arriver à cela, avec un peu de technicité, notre expert nous explique : « le cybercriminel doit avoir un accès en interne en prenant la main sur une machine. Dans les images des pages web, il est possible d’insérer du code java par exemple, qui va emmener la machine à rediriger des commandes dans le réseau interne. Une fois dans le réseau il recherchera une faille dans un équipement réseau ou dans le routeur internet, car plus facilement attaquable. L’antivirus du poste n’aura rien vu car vous aurez vous même autorisé l’accès via votre machine sans pour autant savoir que ce soit une attaque sur la machine. Une fois un routeur détecté, il lance ses tests d’intrusion puis arrive à avoir le mot de passe du routeur. Par la suite il peut carrément modifier le microprogramme du routeur et injecter un code pour lui dire par exemple d’enregistrer toutes les données d’authentification qui transiteront par internet via le boîtier, même sur des pages cryptées ! »
Huawei EchoLife BM626e WiMAX CPE, un cas qui fait école
Lors de nos nombreuses recherches, nous sommes tombés sur des dossiers assez explicites qui mettaient en relief la vulnérabilité de certains boîtiers. En 2015 déjà, un chercheur du nom de Pierre Kim avait publié les résultats de plusieurs tests de vulnérabilité sur des boîtiers. Ces résultats avaient même été repris par plusieurs médias.
Huawei EchoLife BM626e WiMAX CPEL’un de ces boîtiers, utilisé par l’opérateur MTN dans la technologie wimax est souvent revenu. Il s’agit du boitier Huawei EchoLife BM626e WiMAX CPE (Wibox). Pour le constructeur, la Wibox est obsolète. De ce fait, il ne fournit plus l’assistance technique. Pourtant, des failles de sécurités ont bel et bien été détectées et ledit boitier continue d’être utilisé aussi bien par des particuliers que par des entreprises. Plus inquiétant, l’opérateur choisit de ne pas communiquer sur cette faille de sécurité. En effet, l’opération d’échange serait difficilement panifiable : « MTN utilise des boîtiers obsolètes (Wibox). Il y en a plus de 5 000 qui sont déployés en Côte d’ivoire et le Wimax est une technologie moins performante que la 3G/4G. Pour amener le client à demander lui meme le changement de son équipement en magasin, il serait préférable de carrément changer de technologie tout en proposant aux abonnés une migration vers de plus grands avantages » explique l’expert.
Mais selon lui, la solution durable consisterait pour les opérateurs à construire leurs propres Interfaces web de configuration via un accès individuel sécurisé pour chaque abonné (comme Free en France) tout en gardant le contrôle à distance sur leurs routeurs. Mais cela ne risque pas d’arriver de si tôt car il faut énormément d’argent pour le faire. Pour Christophe David, il faut des lois qui responsabilisent les opérateurs sur la sécurité de leurs équipements d’accès, mais aussi qui les oblige à faire des audits de sécurité au moins une fois par an. La grande question est de savoir ce que fait l’opérateur pour remédier à cette situation. A ce niveau, nos tentatives pour en savoir plus se sont heurtées contre un mur : « nous nous rapprochons de la hiérarchie, merci pour l’intérêt que vous accordez à MTN ». Nous n’en saurons pas plus de la part de l’opérateur.
La fin du Wimax, est-ce une tentative de solution ?
Deux semaines après notre entretien avec Christophe David, nous apprendrons que l’opérateur MTN a décidé de fermer son réseau Wimax à compter du 1er avril 2016. Les raisons évoquées sont la « mutation technologique » et « la décision de ré-allocation de fréquences ». Les boitiers Huawei EchoLife BM626e WiMAX CPE seront donc délaissés. Pour l’heure, l’opérateur n’a donné aucun détail sur les équipements qui seront utilisés.
Au-delà de la grogne que pourrait provoquer cette décision auprès des abonnés de l’entreprise, c’est la problématique de la sécurité des usagers qui est remise en cause. Sans être alarmiste, l’expert ne trouve pas de véritables solutions pour les usagers, si ce n’est d’inviter ces derniers à poser des actions qui incitent les fournisseurs d’accès à les informer des mises à jour : « le conseil que je pourrais donner aux utilisateurs serait de faire parvenir des mails aux opérateurs pour s’informer de la disponibilité de mises à jour, sinon il n’y a rien d’autre à faire. Comme je le dis, il faut des lois pour obliger les opérateurs à faire des audits anti-intrusion ».