Interview de José Marcio Da Cruz, responsable de la sécurité réseaux aux Mines de Paris.
Quentin et Kévin : Q
José Marcio : J
Q : Bonjour.
J : Bonjour.
Q : Pour commencer, pouvez-vous vous présenter, nous parler de ce que vous faites ?
J : Je suis responsable de la sécurité informatique de l’école des Mines de Paris. Je fais également partie d’une activité de recherche autour de la protection de la messagerie électronique de l’école.
Q : Vous avez créé un logiciel c’est bien cela ?
J : Oui c’est exact, un logiciel pour les universités et autres écoles.
Q : D’accord. Il s’agit donc bien de celui dont on se sert à l’école.
J : Tout à fait.
Q : Notre sujet à l’origine part d’une constatation, celle de l’évolution du spam vers le spam social qui vise à utiliser les informations personnelles de l’utilisateur ce qui permet de mieux cibler les personnes. Notre problématique est donc la suivante, quelles seront les conséquences de cette évolution sur les moyens de protection déjà existants ? Dans un premier temps, nous aimerions savoir si, vous-même, vous avez constaté cette évolution et si elle est vraiment réelle.
J : Je ne sais pas si c’est plus ciblé qu’un spam mais les spammeurs utilisent des moyens de communication comme les réseaux sociaux pour insérer des messages parasites. On ne ressent pas vraiment sur les réseaux sociaux cette évolution car ces derniers ont un système de filtrage assez efficace mais lorsqu’on se rend sur des blogs ou des sites un peu plus personnels qui n’ont pas les moyens de traiter ce problème.
Q : De quelle forme est la menace sur ces blogs ?
J : Il y a deux sortes de menaces. Il y a tout d’abord la vulnérabilité des logiciels utilisés pour insérer des messages. Par exemple, les commentaires que l’on peut trouver sur des blogs ou le message n’est rien d’autre qu’une publicité.
Q : Tout ce qui est lien c’est bien cela ?
J : Oui. Ce sont toujours des liens car c’est la méthode la plus simple mais également la plus efficace pour toucher un maximum de personnes.
Q : Et sur les blogs, il n’y a aucun moyen de défense contre ce type d’attaque ?
J : Il y a la modération.
Q : Oui, mais celle-ci n’est pas automatique.
J : En effet, mais il existe également des logiciels permettant de cherche dans les commentaires les liens qui sont postés et qui vérifient où ils conduisent et qui comparent ces adresses à une base de données de liens qualifiés de spam. Par exemple, il n’y a pas si longtemps de cela, j’ai acheté un livre et en me renseignant dessus sur un blog j’ai pu remarquer la présence d’une publicité proposant du viagra. Ce sont ce genre de choses que l’on peut voir sur internet.
Q : En ce qui concerne les réseaux sociaux, nous avons lu quelques articles qui nous expliquaient que ce genre de spam récoltait des informations personnelles sur les utilisateurs afin de leur envoyer des pubs qui avaient une chance de les intéresser. Est-ce que ce genre de choses existe sur les blogs ?
Q : Pour en revenir aux réseaux sociaux, vous pensez que dans ce cas-là on peut avoir accès aux adresses mails ?
J : Prenez par exemple Facebook, vous avez dans le profil une page d’informations et là tout en bas de la page vous trouverez une adresse mail. C’est à l’utilisateur de configurer son compte pour qu’il choisisse qui doit pour avoir accès à ces informations ou non. Une partie dépend de la protection informatique qu’il y a derrière, être piraté ou non, mais une autre partie dépend de l’utilisateur qui doit faire attention à ses informations.
Q : Peut-être que dans un premier temps il est préférable de sensibiliser les gens à ce problème.
J : Oui, je pense. De toute façon en termes de protection informatique, la sensibilisation des utilisateurs à ce genre de problèmes est essentielle pour qu’ils prennent un minimum de précaution. Si vous voulez que l’informatique fasse tout pour vous, il faut que le programme soit plus complexe mais un logiciel parfait n’existe pas.
Q : Pouvez-vous, en quelques mots et en vulgarisant, nous donner les différentes solutions existantes contre le spam ?
J : Dans les réseaux sociaux ?
Q : Oui dans les réseaux sociaux et plus largement.
J : En ce qui concerne les réseaux sociaux, je pense que le moyen le plus efficace est la sensibilisation des utilisateurs à ce problème et cela même pour la messagerie personnelle. Les messages qui sont envoyés et où on demande de renvoyer son code pour une raison ou pour une autre sont assez fréquents et certaines personne y répondent. Ce sont des messages en général qui font très sérieux et donc les gens tombent dans le panneau.
Q : Avez-vous pu constater ce genre d’exemples dans l’école ?
J : Oui, que ce soient les professeurs ou les élèves, ce sont des gens qui touchent à l’informatique tous les jours et qui tombent dans le panneau de façon très naïve. Ensuite, en matière de moyen technique pour se défendre il y a les vérifications de contenus. Cela vous permet de regarder si dans le document on peut trouver des informations qui vous sont étrangères. Il y a des mots comme viagra qui reviennent quasiment tout le temps. Il y a aussi des systèmes qui regardent avec quelle fréquence ces émetteurs essaient de rentrer sur le serveur. Une personne qui met 10 commentaires en 2 minutes, c’est suspect.
Q : On a déjà parlé des menaces comme sur les blogs mais en connaissez-vous d’autres ?
J : Non pas vraiment. Je pense que cela se limite à la publication de publicités sur internet.
Q : Oui mais l’idée serait que la publicité corresponde aux centres d’intérêts de l’utilisateur afin de maximiser les chances de lecture.
J : Je ne pense pas que les spammeurs se préoccupent vraiment de ces choses-là.
Q : Pouvez-vous nous expliquer la différence entre les entreprises qui envoient des mails pour faire de la publicité et les spams ?
J : Vous savez je reçois environ 500 600 spams par jour. Sur ces 500 spams, il doit y avoir à peu près 20% de publicité légitime et on ne peut pas vraiment faire la différence mis à part si on regarde de très près.
Q : Nous voudrions revenir sur les solutions techniques en matière de protection à propos d’une thèse que nous avons lu et qui nous expliquait la mise en place sur les réseaux sociaux de « honeypots », des faux profils, qui devaient se faire ajouter par des spammeur en tant qu’amis afin de les étudier et de pouvoir prédire géographiquement leur attaques. Est-ce que vous connaissez des techniques similaires ?
J : Pour les messageries, c’est un peu pareil. Les entreprises qui créent les logiciels utilisent le même concept. Nous avons également ce genre de techniques à l’école car c’est la manière la plus efficace de ramasser des spams. Mais le problème en messagerie, c’est que nous ne pouvons collecter que les spammeurs qui arrivent avec de grands sabots. Par exemple un message parlant d’une commande de viagra, vous la mettez à la poubelle tout de suite mais les messages les plus dangereux sont ceux qui représentent moins de 1% de vos réceptions et sont un peu plus ciblés. Ils contiennent très souvent des fichiers en pièces jointe. C’est d’ailleurs eux qui font le plus de dégâts.
Q : En ce qui concerne la politique de sécurité de l’école, pouvez-vous nous dire les grandes lignes de la protection informatique de l’école.
J : C’est un peu compliqué car nous avons une politique un peu différente de celle que l’on peut trouver dans les entreprises. Ici les gens sont plus libres, on ne bloque que ce qui peut porter atteinte à l’intégrité du serveur. Pour le reste, on ne fait que le noter et on remet le message à l’utilisateur. Dans une entreprise, assez souvent, c’est directement mis à la poubelle. Il s’agit plus de laisser des libertés aux gens. Et puis comme je fais des recherches dans ce domaine, ce genre de messages me servent pour étudier les spams. Il y a quelques années, nous bloquions tout mais des personnes, comme le centre de sociologie, était gênées dans leur travail car ils consultaient des forums en tant que simple observateur.
Q : Tout le monde a accès aux réseaux sociaux ou il y a des règlementations ?
J : Non, à l’école nous ne voulons pas de restrictions autour des réseaux sociaux. On essaye de s’occuper au mieux de ce problème en aval.
Q : Nous en arrivons donc à une autre question qui a été soulevée durant nos recherches, est ce que les entreprises doivent se protéger elles-mêmes des spams ou est-ce que la responsabilité revient aux réseaux sociaux.
J : Pour les entreprises, je ne sais pas trop. Une chose est sûre, c’est que les personnes qui font des blogs doivent mettre en place des mesures techniques pour limiter ce type d’attaques. Cependant, même si les réseaux sociaux ont des moyens un peu faibles en termes de sécurité informatique, ce n’est pas une raison pour s’en tenir éloigné.
Q : Enfin, nous voulions avoir votre avis sur une possible nouvelle évolution du spam. Nous avons vu que nous sommes passés du spam au spam social, pensez-vous qu’il puisse y avoir une autre évolution encore ?
J : Je ne sais pas si cela va encore changé. Une chose est sûre, en ce qui concerne la messagerie personnelle, c’est en perte de vitesse. Comme cela fait longtemps que cela existe, les gens commencent à prendre conscience de ce type d’attaques. Les seuls spams qui marchent encore vraiment, ce sont ceux qui ne sont pas communs et qui annoncent quelque chose d’assez inhabituel, des publicités autres que pour des sextoys.
Q : Ces publicités dont vous parlez, ce sont celles, comme, par exemple, quand on s’abonne sur la Fnac, qu’on reçoit derrière ?
J : En quelque sorte car maintenant sur internet, on ne s’inscrit nulle part et on se retrouve avec des dizaines de publicités.
Q : Pour terminer, nous aimerions vous demander si vous avez une idée de comment un spammeur peut faire pour contourner les systèmes de sécurité mis en place sur les réseaux sociaux par exemple.
J : Malheureusement, non je ne sais pas trop. J’imagine que certains le font par expérience et à force de se frotter aux systèmes de sécurité, on finit par trouver une faille. Ils doivent également utiliser des logiciels assez puissants pour contourner cela. Le plus intéressant pour ces gens-là de toute façon, ce sont les attaques automatiques, pas manuelles car ils perdent du temps et c’est justement là que doivent intervenir ces logiciels.
Q : Très bien. Merci de nous avoir accordé cet entretien et de nous avoir fourni tous ces éléments de réponses. Bonne continuation dans vos recherches. Au revoir.
J :Au revoir.