- il y a 10 heures
Ce mardi 12 mai, Michel Juvin, ecosystem advisor chez Alliancy ; Pascal Le Digol, directeur France de WatchGuard Technologies ; Gerôme Billois, associé en Cybersécurité et Confiance numérique chez Wavestone, et Benoit Grunemwald, expert en cybersécurité chez ESET France, se sont penchés sur le piratage de l'ANTS par un jeune hacker de 15 ans surnommé breach3d, la militarisation de l'éducation en Russie, l'apparition de nouvelles formes d'hameçonnage, et le chiffrement post quantique, dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.
Catégorie
📺
TVTranscription
00:05BFM Business présente Tech & Co Business, le magazine de l'accélération digitale.
00:11Frédéric Simotel à la deuxième partie de cette émission notre débrief de l'actu cyber avec nos
00:16spécialistes Michel Juvin écosystème advisor chez Alliancy bonjour Michel à tes côtés Jérôme
00:22Bilois associé cybersécurité confiance numérique chez Wavestone que l'on retrouvera d'ailleurs à
00:29sur un plateau pour parler de beaucoup de choses. Benoît Grunemval l'expert en cybersécurité chez
00:35ISET France bonjour Benoît et Pascal Ledigol à chaque fois je me dis il faut que je lui demande directeur
00:44France WatchGuard Technology merci Pascal d'être avec nous. Juste un petit mot tiens on parlait il y a
00:50quelques semaines de la NTS alors c'était des titres sécurisés on en parlait d'ailleurs au début de
00:56cette émission avec Philippe Devost c'est France titre aujourd'hui donc ils ont été piratés c'est ça
01:00concerne nos données de permis de conduire de carte d'identité de passeport donc c'est quand même plutôt
01:04sérieux et puis on a arrêté un jeune hacker Bridge 3D qui a piraté alors qu'est ce qu'on
01:11peut dire de
01:11cette de cette arrestation ? Alors c'est un jeune Bastiais qui a qui a réussi en fait à trouver
01:18les moyens en
01:19utilisant en fait. C'est pas forcément un petit génie c'est un curieux un peu un peu geek quoi.
01:24Voilà
01:24c'est ça en fait la méthode qu'il a utilisée on pourrait croire que ça l'a porté tout
01:28le monde
01:29ça nécessite quand même un peu de réflexion et puis avoir un objectif dans la tête et ce qui est
01:34intéressant en fait c'est c'est de voir que c'est possible c'est accessible et un peu à
01:39tout le monde
01:40et c'est ça qui fait peur d'autant plus que cette faille elle était visiblement connue depuis
01:44quelques années ce qui met en cause effectivement la protection de nos sites et la réponse du premier
01:49ministre a été a été forte puisque donc un budget de 200 millions d'euros, du bug bounty alors ça
01:57tombe très bien parce qu'on a justement une très belle société du bug bounty en France qui va qui
02:01va certainement bien opérer et puis 5% de budget de l'ensemble des ministères pour la cyber de
02:06sécurité et ça c'est une bonne chose mais en fait on peut se poser la question quelle punition apporter
02:11oui à ce jeune hacker sachant que c'est une vraie problématique qui a d'ailleurs été documenté par
02:16l'un des mémoires de l'école il a 15 ans on va pas lui mettre 30 ans de prison
02:20oui non plus et en
02:21même temps en même temps faut se poser la question est ce qu'on va le faire baigner dans un
02:26milieu de
02:26criminels pour qu'il apprenne un peu plus ou un peu mieux ce métier qu'il a goûté ou au
02:32contraire
02:32ce qu'on va réussir à le recadrer et à le renvoyer en fait dans des environnements éthiques et puis
02:37en même temps
02:37ces motifs étaient quoi ces motifs c'était pécunier parce que là il a volé ses données il les a
02:42mis sur
02:42le dark web il a gagné de l'argent avec ça ou alors c'était juste c'était pas que
02:46la performance
02:47technique je pense pas qu'il ait gagné d'argent pour autant il avait un précédent dans lequel il
02:51avait déjà essayé de gagner de l'argent donc on peut dire que il y avait un hack for de
02:56monnaie au
02:57début et puis ça s'est transformé en hack for fun dans la mesure où il est allé lui-même
03:02à la
03:02gendarmerie de bastien pour préciser que c'était lui qui l'avait fait mais quand on revient sur le budget
03:07de
03:07200 millions d'euros on se dit c'est 200 millions pardon oui en prix sur le budget france 2030
03:13c'est
03:14pas une nouvelle enveloppe quand on y réfléchit bien on se dit mais un expert cybersécurité c'est
03:19environ 1500 euros par jour il travaille 220 jours dans l'année donc on divise 200 millions par 1500 et
03:29par 220 et on trouve environ 600 personnes oh et là on se dit tout de suite ça va pas
03:34être simple de
03:35trouver 600 experts et c'est des experts cyber qui vont pas faire simplement qu'appliquer la
03:39réglementation il faut qu'il soit un niveau au dessus parce qu'il ya des tas d'entreprises qui étaient
03:44conformes réglementairement et qui se sont fait hacker donc là il faut réfléchir un petit peu plus et on
03:48est confronté là quand même à un vrai problème de fond parce qu'elle a un petit curieux un petit
03:54curieux oui c'est un peu habile un peu agile ça ressemble un peu malin ça ressemble aux techniques
03:59de piratage vous savez quand vous apprenez le piratage je sais tu as déjà suivi les cursus
04:04initiaux ça ressemble aux premières questions c'est dans les exercices et la manière dont il a piraté c'est
04:08un de ses premiers exercices donc effectivement ça n'est pas forcément très loin faut tomber dessus
04:12donc d'où la curiosité après ce qui va lui tomber dessus il y a une loi il tombe sous
04:19le coup de la loi alors il est
04:19mineur donc voilà ça sera quand même atténué par rapport à ça puis après après oui il faut essayer de
04:25comme tu disais recadrer bon utiliser ces compétences benoît après juste un dernier point on parle de budget
04:34beaucoup de budget moi j'y vois surtout un problème de responsabilité dans cette histoire là parce que le
04:39budget la nts ils en avaient mais c'est pas ça qui leur a fait il a fait en sorte
04:43qu'il n'y ait pas la faille
04:44donc il y a des responsabilités un peu trop dit même si ce sujet là parce que moi j'ai
04:48entendu aussi certains
04:49qui disaient oui mais on a un gros legacy qui est compliqué à bouger tout ça mais toutes les
04:52entreprises ont des gros legacy alors voilà là il y a surtout des couches aussi de sous-traitance de
04:59qui qui est permanent pas permanent enfin je pense que si on s'y penche il ya un peu de
05:03procès
05:03c'est trop dilué un peu tout ça oui donc il risque soit 7 ans de prison soit 300
05:09mille euros d'amende donc ce qui est quand même assez conséquent ce qui ne l'a pas dissuadé de
05:13le
05:13faire et moi ça ça me rappelle une opération qui s'appelle cactus qui a été menée il n'y
05:17a pas longtemps
05:17conjointement avec cyber malveillance et qui a envoyé sur les ent un hameçonnage pour sensibiliser
05:23les différents élèves au bon réflexe peut-être qu'il faudrait l'accompagner aussi d'éléments qui
05:30leur permettraient de se manifester si jamais au delà de l'hameçonnage qu'ils arrivent à déjouer
05:35s'ils ont des compétences et qu'ils veulent pouvoir les mettre au service de des autorités par
05:40exemple des boîtes privées parce qu'à 80 ans on est encore sur le ent et on peut tout à
05:45fait lever la
05:45main moi je me souviens il y a quelques années le ministère de la défense qui est à côté de
05:48chez
05:48nous c'est avant le covid ça date un peu ils avaient mis à jour leur rendu public des informations
05:54sur la
05:54machine enigma donc on était allé voir la conférence de presse et bien et puis en parallèle ils avaient
05:58gardé un dernier petit quart d'heure en disant tiens on va organiser un grand concours pour les lycéens
06:02justement pour repérer un peu pour nos services de renseignement tiens ce serait bien je vais les
06:06recontacter savoir où ils en sont quelques années plus tard voilà pour ce jeune hacker on verra on suivra bien
06:13entendu ça il y aura des jeunes hackers il y en a pas mal qui sont formés en russie c
06:18'est jérôme
06:19qui a repéré c'est un article du monde qui sur des docs qui ont fuité de l'école de
06:23gru pour
06:24entraîner au piratage des informations là on part en russie un jérôme voilà là on part en russie on
06:29est à l'université bauman de moscou qui est une école assez prestigieuse avec l'université d'état
06:34reconnue etc et qui est une section section numéro 4 qui effectivement est assez discrète
06:40mais elle a eu une grosse suite de données qui cette fois ci nous intéresse parce qu'on y apprend
06:45plein plein
06:46de choses et le monde ainsi qu'un consortium de journaux internationaux ont pu décortiquer tous
06:49les documents qui montrent clairement qu'il ya des cursus pour devenir pirate au sein de l'état au
06:56sein de l'état russe avec une approche qui est vraiment une couverture à 360 degrés des compétences
07:01requises parce que ça va du classique sur comment marchent les ordinateurs les serveurs l'infrastructure
07:06etc et sur du beaucoup moins classique par exemple comment on positionne des micros des caméras dans des
07:12domiciles la palette complète voilà et il ya aussi une grande catégorie que que alors que souvent on ne retrouve
07:18pas justement dans dans l'approche plutôt française européenne de la de la cybersécurité c'est toute la lutte
07:25informationnelle et finalement ils ont des cours sur comment on décrédibilise quelqu'un sur comment on fait passer un rationnel
07:31d'ailleurs on soupçonne que ce soit eux qui attaquaient donc on parle de fin de sibirre de la pt28
07:34on soupçonne que ce soit eux qui attaquaient tv5mond
07:36je crois que dans le dans le monde c'est ce qu'ils disent il ya quelques années pour
07:39oui alors c'est pas directement l'université mais effectivement c'est des gens formés dans cette
07:44université nourrit les services de renseignement russe en particulier le gru mais il y en a d'autres
07:48aussi qui ont été associés à beaucoup de cyber attaques d'ampleur tv5mond on les a aussi reliés aux
07:55tentatives sur sur les jeux olympiques aux tentatives sur la campagne et qu'est ce qu'il faut tirer comme
08:00leçon de
08:00ça jérôme alors je pense que ça ouvre le couvercle sur quelque chose qu'on sait tous tous les services
08:05de
08:05renseignements de toute façon cherchent à avoir des forces vives nouvelles là c'est vraiment je pense
08:12l'industrialisation déjà il ya une vraie filière chez nous c'est tu l'évoquais à l'instant avec les
08:17militaires qui étaient on peut essayer d'intéresser les profils et après il est il les forme en interne
08:22là il ya une vraie filière externe de formation de pirates voilà et surtout une filière qui mixe toutes
08:29ces dimensions simultanément et en particulier la dimension informationnelle qui est quelque chose
08:33qu'aujourd'hui à ma connaissance dans tous les cursus cybersécurité en france on ne traite pas
08:37même dans une logique défensive parce qu'en fait aujourd'hui on va être dans des choses très
08:42techniques dans la défense mais moins dans la défense informationnelle alors que c'est quand même un des
08:48enjeux majeurs de ce qui nous on est on est vraiment oui dans cette partie technique on sépare la
08:53cybersécurité au sens je protège mes données mes serveurs mes infrastructures de la défense face à des
08:59fausses informations des deep fake des fake news qui sont dans les grandes entreprises plutôt rattachées à la
09:04communication mais de plus en plus il ya des liens avec les équipes cyber quand même ça commence
09:09c'est naissant dans quelques structures où les équipes de réponses à incidents dans ces dans ces grands
09:14groupes du cac 40 commence à être sollicités par la com pour justement déjà bien analyser quand ils sont
09:19victimes de campagnes d'attaque et puis voir comment répondre en restant là évidemment dans un cadre
09:24légal mais répondre de manière intelligente face face à ces attaques et là c'est sûr qu'en termes de
09:29formation on n'a on n'a pas grand chose en france aujourd'hui c'est intéressant ça de devoir
09:32je
09:33sais pas pascal d'avoir ces formations plus plus globale alors à la fois technologique et puis de
09:39de la géopolitique enfin former un peu ces gens là faut rappeler que là on parle souvent de
09:46cybercriminalité mais la cybercriminalité c'est aussi un pendu militaire et qu'ils aient des cursus
09:53pour nourrir le militaire ben j'espère oui la même formée qu'ils font ils font ils font des
09:57espions voilà des espions au sens en fait si on fait un pas de recul c'est logique et ça
10:04de leur
10:05point de vue que les formations soient soit peut-être moins dans le côté offensif de
10:09désinformation pourquoi pas pourquoi pas je pense que je pense que quelqu'un qui est formé pilote dans
10:15l'aviation apprend aussi à larguer une bombe aujourd'hui en fait on parle d'un outil qui est un
10:19outil
10:20militaire donc il sert aussi bien à la défense qu'à l'attaque et je pense qu'on a enfin
10:24c'est
10:24vrai qu'on parle souvent des des russes des nord-coréens qui attaquent etc mais le jour où
10:30il y a une guerre et qu'il faut faire la guerre numérique il va falloir qu'on attaque aussi
10:33donc
10:33j'espère qu'on est formé comme comme cela en tout cas dans la doctrine du ministère des armées dans
10:37la doctrine cyber il ya déjà un grand plan sur la lutte informationnelle donc voilà on a déjà les
10:41experts et on sait déjà faire après c'est qu'on a moins de formations labellisées comme ça en tout
10:45cas
10:46visible elle était cachée donc rien ne dit que benoît alors moi ce que je trouve intéressant c'est
10:52le fameux compte x x twitter de la france qui permet le nom m'échappe mais qui permet aussi de
11:00débunker ces fausses informations donc c'est aussi un début il n'y a peut-être pas le je sais
11:06pas si le
11:06community manager a été formé particulièrement pour pour ce compte là mais il tourne en parodie un
11:10certain nombre de fausses informations ce qui permet de répondre on va dire à la française ça c'est une
11:15première chose la deuxième chose c'est que ces documents un peu comme aïsoun c'est un leak qui
11:20est arrivé en chine et qui nous montrait comment un sous traitant pouvait travailler pour l'état et
11:25mener des opérations un peu similaires à pt-28 nous révèle comment ça fonctionne une fois que les
11:32documents sont authentifiés on a vraiment des mines d'informations qui sont énormes véridiques et
11:38qui nous permettent de mieux comprendre effectivement comment se préparent ceux qui cherchent parfois à nous
11:42déstabiliser donc c'est vraiment quelque chose qui est fortement intéressant à mon avis qui va mériter
11:46d'être étudié mais c'est ce que c'est ce qu'on dit depuis pas mal d'années parce
11:49que souvent on
11:50disait attention oui moi je suis pas une entreprise menacée je parle de ça il ya encore trois quatre ans
11:54parce que je suis pas d'une banque je suis pas un acteur et puis on dit oui mais votre
11:58patron il
11:59est exposé enfin il y avait tout ça on en parlait à l'époque jérôme oui tout à fait il
12:03ya de toute façon la
12:04menace est vraiment protéiforme et c'est vrai qu'on voit la menace classique du ransomware mais si on observe
12:09ce qui se passe
12:09aujourd'hui cette menace elle évolue énormément on n'est plus juste sur j'envoie un phishing je
12:14pirate un ordinateur et j'accède au serveur pour tout couper on est vraiment sur plusieurs axes on va
12:20attaquer les systèmes cloud pour extraire des données discrètement on a des attaques sur les
12:23rh sur le recrutement on en aura déjà parlé ici avec la corée du nord mais il ya d'autres
12:27d'autres actions sur ce volet là et on a les attaques sur l'intelligence artificielle et donc en fait
12:32aujourd'hui on est face à une menace qui vraiment s'élargit dans les canaux par lesquels elle peut être
12:37activée et s'élargir aussi sur les acteurs qui le font oui moi ça m'amène à une prise de
12:43conscience
12:44que on tarde un petit peu à venir c'est cette stratégie plutôt offensive on a toujours été
12:49depuis très longtemps sur la défense ou alors comme dit pascal on le sait pas mais ce serait bien de
12:53le faire savoir peut-être un petit peu pour montrer que nous si on sait se défendre au delà simplement
12:57de
12:57le faire savoir c'est se dire aussi que peut-être dans les entreprises il faut réfléchir à une stratégie
13:01offensive c'est à dire se mettre encore plus à la place du hacker pour se dire si on m
13:05'attaque
13:05comment est-ce qu'on va faire ces stratégies offensives je trouve qu'elles tardent peut-être
13:09un peu à rentrer normal on est en cyber on parlait ici on est en cyber guerre on est passé
13:13la
13:13cyber guerre froide à la cyber guerre chaude et c'est pas une blague et maintenant il faut
13:18réfléchir d'une manière un peu plus offensive que c'est à dire c'est ça c'est ce que
13:20j'ai à
13:21l'instant c'est quand un patron s'expose ou quand une entreprise s'expose qu'elle se dise
13:25tiens le fait que je prenne position je m'appelle mettons patrick pouyané pour en ce moment parce
13:30qu'on parle beaucoup du pétrole le fait que je m'expose est ce que quels sont les risques pour
13:34moi d'être
13:35exposé justement des cyber attaques des informations ah oui c'est sûr de façon du moment qu'il y a
13:40de
13:40l'exposition médiatique liée à une actualité je pense que total de reprendre tous les activistes du
13:46monde sont certainement sur le dossier et puis lui je pense qu'il a bien aussi cerné cerné tout
13:50ça avec ses sur le côté offensif on a bien vu là en début d'année la communication de la
13:55maison
13:55blanche sur la nouvelle stratégie cyber eux ils mettent les feux à fond sur le volet offensif
14:01fin y compris dans un lien avec le secteur privé aujourd'hui c'est une ligne rouge qu'on a
14:05en
14:05europe de dire le hack back la réponse aux attaques reste des prérogatives des états dans le cadre de
14:11leur sûreté nationale là les états unis ont ouvert une porte assez forte à l'interaction et on parle
14:16bien encore une fois on le dit on parle bien de l'offensive technologique et informationnelle
14:21enfin voilà tous les pans un peu de de de ce côté hacking qui soit à la fois technologique ou
14:28justement sur des des choses plus soft dans ce domaine troisième sujet c'est toi qui l'a relevé
14:36benoît c'est les nouvelles formes d'absonnage alors tu dis voilà j'ai à partir de 4 5 infos
14:41on dit
14:41tiens c'est tout ça est en train de changer évidemment l'ia a son rôle à jouer parce qu
14:45'elle apporte un peu
14:46plus de dead ou à ceux qui veulent déjouer les les portes enfin les portails des entreprises
14:52voilà explique nous un petit peu ce que ce que tu as repéré oui alors j'ai j'ai compilé
14:56en cherchant
14:57autour du de l'hameçonnage ce qui pouvait évoluer ces derniers temps et le premier constat c'est
15:03parti de d'un rapport de microsoft qui disait que sur le premier trimestre il y avait plus de 8
15:07milliards
15:07d'e-mails d'hameçonnage donc on est encore dans une logique massive il y avait dans ce rapport aussi
15:14143% de ces e-mails qui en augmentation pour de du qr code donc du qr code soit directement
15:21dans
15:21l'e-mail soit dans des soit dans des pdf attachés donc ça pose la question de comment est-ce
15:26que les
15:26utilisateurs vont manipuler ces qr codes comment est-ce que ça va permettre de passer les barrières
15:31et puis il y a aussi l'utilisation de captcha faux captcha qui en crédibilise la captcha on le rappelle
15:37c'est ces petites lettres voilà qui vous sont écrits un peu n'importe comment on les déchiffre si on
15:41voit
15:41bien ça évite voilà que des robots ne passent les fameuses barrières et en fait en rajoutant ce faux
15:47captcha et bien on va crédibiliser l'accès au site sur lequel on va rentrer ses logins et ses et
15:51ses mots
15:52de passe et là c'est juste dans la tête on se dit tiens il y a ça ça doit
15:54être sécurisé c'est donc que ça doit être
15:56sécurisé c'est donc que c'est légitime et puis de l'autre côté on a les attaquants qui continuent
16:00à faire du
16:01malware as a service ou du phishing as a service c'est un peu comme les ransomware c'est qu
16:05'il y a des éditeurs
16:06qui vont mettre à disposition des kits alors soit des kits entre guillemets traditionnels qui vont usurper
16:11l'identité de grandes entités avec l'intelligence artificielle effectivement pour aider les moins
16:18talentueux à rédiger les messages et puis de l'autre côté on a aussi des kits qui eux sont plus
16:24pernicieux parce qu'en fait ils envoient des emails qui ne contiennent rien sauf un numéro ce qui fait que
16:29ça
16:29va passer un certain nombre de barrières on va appeler le numéro et là on va tomber sur un système
16:33automatisé avec l'intelligence artificielle qui va vous demander de réaliser en parlant les courriels
16:38mais on a tous reçu la photo de la personne je suis devant chez vous avec le colis la camionnette
16:44derrière c'est un exemple incroyable de personnalisation des attaques qui est vraiment
16:47une tendance nouvelle aidé justement par l'intelligence artificielle parce qu'avant on recevait un sms qui disait vous
16:53avez un colis voilà maintenant on reçoit un sms avec une photo avec la photo d'un colis son nom
16:57son prénom
16:58le code c'est la même photo donc au bout d'un certain soit on voit mais ce qui est
17:03impressionnant
17:03c'est qu'ils arrivent à croiser les vols de bases de données qui sont très précis avec justement même
17:08le code porte etc donc ça donne une légitimité extrêmement plus forte maintenant ce qu'il faut
17:13c'est qu'ils utilisent l'IA pour changer justement la photo des colis ou la photo du camion ce
17:17qui est
17:17malheureusement qu'un pas de plus dans l'automatisation et je pense qu'ils en ont eu même
17:21l'idée je ne leur apprends pas quelque chose aujourd'hui de révolutionnaire et puis on le dit
17:25beaucoup ici Pascal on est dans un univers du service derrière il y a tout un il y a du
17:29service à prévente
17:30il y a du c'est ça qui est compliqué aujourd'hui on est dans un univers du service on
17:35est aussi dans
17:36un univers où on voit que l'IA commence à couper des jobs c'est-à-dire qu'avant on
17:41recrutait des
17:41petits jeunes pour aller appeler faire du vichy à partir des informations pour aller log in
17:46maintenant il n'y en a plus besoin en fait c'est l'IA qui l'a fait avec la
17:50voix de l'IA scripté avec tout ce qui va bien
17:53donc c'est mon premier commentaire c'est qu'il y a des métiers qui sont en train de disparaître
17:57parce que l'IA prend la place
17:59y compris dans le monde des forces obscures
18:03et puis mon deuxième commentaire c'est là on est bien assis confortablement à commenter des choses qui se font
18:08mais prenons le pari
18:09aujourd'hui on voit déjà une IA qui est capable de parler à un humain de clairement alors dans un
18:13contexte bien
18:15spécifique de passer le test de Turing c'est-à-dire que la personne en face humaine ne détecte pas
18:19que c'est de l'IA
18:20à quand les IA qui vont dérouler à partir de toutes les fuites de données qui ont eu lieu
18:26une attaque complète d'ingénierie sociale en essayant de trouver la faille la plus
18:32surtout quand on entend qu'on a pu se faire pirater ses données par son opérateur
18:38par un site marchand chez qui on est allé par l'ANTS dont son permis de conduire tout ce genre
18:44de choses
18:44je pense qu'on est très loin d'armer une IA pour être capable presque de manière autonome à faire
18:50de l'ingénierie sociale qui est probablement le truc le plus dur à faire pour un pirate parce que c
18:55'est
18:55manipuler l'esprit de l'humain qui est en face mais une IA autonome je pense que je serais ravi
19:02de
19:02commenter quand la première quand si jamais tu m'invites encore
19:07on sera peut-être remplacé par des IA
19:09peut-être justement
19:10le kit et pour terminer le kit coûte 4000 dollars plus une partie des bénéfices donc on est sur un
19:17un montant qui peut être conséquent mais compte tenu des bénéfices faits par les cybercriminels
19:22c'est assez
19:25juste un dernier point parce que là on parle on raconte ce qui se passe mais en fait il faut
19:29se mettre de l'autre côté
19:30le côté des entreprises comment est-ce qu'on défend par rapport à ça parce qu'on voit bien que
19:33l'hameçonnage en fait on passe au delà de toutes les barrières de sécurité
19:37physique qu'on a mises en place puisqu'on va directement avec un droit d'excès à l'intérieur du
19:40réseau d'entreprise
19:42et donc l'idée de fond c'est pour défendre c'est sensibilisation d'abord il faut parler expliquer montrer
19:48démontrer que ça marche très bien
19:49et puis en même temps il ya quelques actions spécifiques pour bloquer certains logiciels qui sont
19:54qui sont en fait des logiciels de binaires qui s'activent au travers donc de ces outils d'hameçonnage
20:01donc il ya quand même quelques actions à faire pour tenter de protéger un petit peu faut pas les oublier
20:05et c'est vraiment une action que l'ensemble
20:07mais c'est vrai que maintenant on doute de tout moi j'ai reçu récemment une c'était l'INSEE
20:10qui faisait une enquête sur la santé des français
20:13alors les questions restent assez générales mais quand même on nous demande si on dort bien si on mais moi
20:19j'ai eu un doute quand même
20:20donc j'ai contacté service de presse de l'INSEE en demandant il ya bien une enquête en ce moment
20:25et puis c'est et puis même faire confiance s'il y avait un numéro si même là même là
20:31en ce sens
20:33Dès qu'il ya de l'urgence oui finalement c'est ça le critère numéro un c'est à dire
20:36si il ya de l'urgence des données personnelles ou financières
20:38voilà déjà faut que ça s'allume rouge dans la tête en disant attention fraude potentielle
20:42puis toujours contacté voilà l'organisme initial qui a lancé la demande par un autre canal c'est les bons
20:48réflexes mais faut que tout le monde y pense quoi et c'est pas simple
20:50passer par les applications aussi alors il n'y a peut-être pas d'application pour les sondages mais si
20:54on reçoit un e-mail d'amélie ou si on reçoit un e-mail de sa banque
20:57bon moi généralement je les lis plus ces e-mails là ils passent directement à la poubelle et je vais
21:00dans l'application et si je n'ai pas de notification dans l'application
21:04la banque c'est ce qu'ils font d'ailleurs ils communiquent plus par messagerie à la banque on va
21:07à l'intérieur de l'application et c'est par là que l'on communique
21:10c'est vrai que ça l'INSEE me dirait voilà rentrer sur votre compte INSEE et aller répondre j'y
21:14serai allé beaucoup plus rapidement
21:17Dernier sujet alors je ne sais plus qui l'avait mis sur le quantique c'était toi les attaquants à
21:21la pointe du chiffrement
21:22alors c'est une nouvelle opération du rançongiciel Kyber identifié avec du chiffrement post-quantique on y arrive ça y
21:28est on sait que c'est on est
21:29bah voilà on y est
21:31Bien sûr il n'y a aucune raison de ne pas utiliser le chiffrement post-quantique et les cybercriminels l
21:35'ont bien compris
21:36donc ça va poser problème aux opérations de déchiffrement
21:40alors il y a plusieurs méthodes pour arriver à déchiffrer des attaques par rançongiciel notamment on peut casser le code
21:45le code peut fuiter
21:46on peut avoir des opérations de police qui vont permettre de saisir des serveurs et donc d'avoir les moyens
21:52de pouvoir faire du reverse et de revenir et de déchiffrer
21:56mais là avec du chiffrement post-quantique on passe à une étape supérieure qui va être qui est tout à
22:02fait tendance mais qui va être problématique pendant un certain temps
22:05Jérôme ?
22:06Oui oui tendance comme tu le dis je trouve que ça démontre plusieurs choses sur le fond aujourd'hui ça
22:11sert à rien pour les cybercriminels de passer au chiffrement post-quantique
22:14parce que la menace que justement leur clé puisse être révélée grâce à l'utilisation d'un ordinateur quantique n
22:20'existe pas
22:21aujourd'hui personne ne... enfin voilà mais alors par contre qu'est-ce qu'ils sont doués pour le marketing
22:26?
22:26parce que là ça fait un coup en disant regardez notre chiffrement il est post-quantique complètement incassable
22:31donc ça du côté de la victime ça dit oh là là je ne pourrais rien faire donc il va
22:34falloir vraiment que je paye
22:35et du côté du recrutement pour les cybercriminels qui cherchent toujours à recruter sur les plateformes
22:40des nouveaux cybercriminels en herbe qui vont utiliser les outils ça fait j'ai l'outil de dernière génération
22:46je suis dans post-quantique donc je suis dedans
22:48et ça démontre une chose c'est que les cybercriminels sont toujours aussi forts pour leur transformation numérique
22:52ils ont réussi à faire des plateformes ils réussissent à passer au post-quantique ils réussissent à utiliser l'IA
22:57souvent malheureusement bien plus vite que...
23:00et sans compter les agents on en parlait d'un agent autonome qui un jour sera capable de...
23:04ou des modèles d'intelligence artificielle qui sont débridés et qui les aident dans leurs activités
23:07donc oui oui ils sont très très forts là-dessus
23:09Michel sur ce que...
23:10c'est un peu désagréable de se dire qu'ils y arrivent assez facilement
23:14alors que beaucoup d'entreprises ont un mal fou en fait à passer au chiffrement post-quantique
23:18et se dire que finalement je rejoins sur cette idée de marketing
23:23mais il faut qu'on essaye quand même aussi de rappeler que c'est un engagement fort de cette année
23:28c'est d'ailleurs rappelé aussi dans la directive qui a été publiée par le Premier ministre il n'y
23:33a pas très longtemps
23:33mais c'est pas impossible à faire
23:36et en même temps restons bien concentrés
23:39c'est un objectif de fond et il faut le planifier
23:42Les pirates profitent de leur force qui est l'agilité
23:46Aujourd'hui pour parler justement tous les deux éditeurs
23:49Isette pour Benoît et Wajugar Technologie pour toi Pascal
23:54Voilà le post-quantique, les entreprises elles posent la question
24:00Alors moi je suis sur les PME-ETI
24:02Si je parle de post-quantique j'ai un visage en face de moi qui s'éteint
24:07Il change de couleur
24:07Donc nous en fait notre rôle à nous c'est justement d'évangéliser
24:12de leur apporter l'information pour qu'ils se sensibilisent le plus rapidement possible
24:18Mais c'est plus facile à faire pour un pirate d'utiliser juste un algorithme
24:22Enfin nous on est constructeur hardware
24:24C'est-à-dire qu'il y a des boîtiers qui sont vieux de 10 ans
24:27qui sont encore dans les entreprises
24:29Et ces boîtiers-là ne seront pas chiffrés du post-quantique aujourd'hui
24:33C'est une question de puissance
24:34Le pirate il s'en fiche, il a le temps de chiffrer sur sa machine
24:37Donc ils profitent de leur agilité là où ils sont
24:39Mais pour que tout le marché se mette en branle
24:43Il y a quand même un peu plus qui est nécessaire
24:45Mais il faut y aller, il n'y a pas de doute
24:47Donc il y a un effet communication
24:48Mais il ne faut pas quand même laisser passer ces technologies
24:52Non complètement
24:53Nous on doit avertir nos clients
24:55Effectivement être à la pointe
24:56Se mettre nous-mêmes à la pointe
24:58Quand c'est possible effectivement
24:59Logiciel ou matériel
25:00Et puis amener aux clients les éléments qu'ils vont faire
25:03Qu'ils vont comprendre et adopter eux-mêmes le post-quantique
25:05Se poser la question
25:07Waystone chaque année il fait un concours de start-up
25:09Oui
25:10Le prochain c'est quand d'ailleurs ?
25:11Ça sort pour Vivintec justement
25:12On publiera ça le 16 juin
25:14Et il y a un peu de quantique dans tout ça ?
25:16Oui il y aura des start-up qui parlent de quantique
25:18Aujourd'hui le marché sur les grandes entreprises
25:20Ça y est il démarre enfin
25:21Aujourd'hui on voit les premières acquisitions d'outils
25:24On voit les premiers grands programmes qui se lancent
25:26Avant tout
25:27La défense a déjà sauté le pas
25:29Parce qu'eux sont très exposés
25:30La finance est dedans ces temps-ci
25:33Et on voit l'industrie
25:34En particulier ceux qui fabriquent des choses à longue durée de vie
25:37Comme les trains, les automobiles, etc
25:40Où il faut aujourd'hui mettre le moteur quantique
25:43Pour que la plateforme qui sort dans 3-4 ans soit conforme
25:46Parce qu'on sera dans les dates
25:47Il faut rappeler que l'Union Européenne demande à ce qu'à 2030
25:50Dans les infrastructures critiques tout a été migré
25:52Et bien merci, donc on aura l'occasion d'en reparler
25:55A l'occasion de Vivatech
25:56Merci Jérôme Bilois, associé cybersécurité et confiance numérique
25:58Chez Wavestone
25:59Michel Juvin, écosystème advisor chez Aviancy
26:01Pascal Lediguel, directeur France de WatchGuard Technologies
26:04Et Benoît Grunemwald, expert en cybersécurité
26:07Chez Isette France-Ouest
26:08Il fallait retenir un peu des quelques grosses news de cyber du moment
26:11Merci de nous avoir suivis
26:12Vous pouvez nous retrouver évidemment en replay
26:14En podcast sur votre plateforme préférée
26:17Mais aussi sur le site bfmbusiness.com
26:20A très bientôt pour une nouvelle émission Tech & Co Business
26:24Tech & Co Business sur BFM Business
Commentaires