Back to Navigation

Panama Papers et correctifs

Transcription d'un balado sur des Panama Papers et correctifs
Animateurs :  PB: Phil Brown, DW: David Whelan

Phil Brown :               Bonjour, ici Phil Brown en compagnie de David Whelan et aujourd’hui, nous allons parler – avec réticence – des Panama Papers et des correctifs.

David Whelan :         Comme vous en avez sans doute entendu parler, l’affaire des Panama Papers consiste en une énorme fuite d’environ 2,5 ou 3TB de données d’un cabinet d’avocats basé au Panama. Ces données, dont un grand nombre de données confidentielles, ont été sorties du cabinet d’une manière ou d’une autre.

Phil Brown :               Et une des polémiques que cela a soulevées est : comment ces données ont-elles été sorties du cabinet ?

David Whelan :         Exactement. La plupart des cabinets d’avocats devraient se soucier de deux choses. La première, c’est votre périmètre, c’est-à-dire ce qui pénètre dans votre réseau. La deuxième, c’est vos employés, que vous avez le devoir de superviser et qui, selon IBM et d’autres organismes qui effectuent des recherches sur la menace informatique, peuvent vous causer des problèmes tout autant que les pirates informatiques externes à votre cabinet. On ne sait pas s’il s’agit d’une menace interne ou externe, mais il y a là deux groupes importants de personnes.

Phil Brown :               Et en ce qui concerne les Panama Papers, nous sommes assez sceptiques sur la probabilité de pirates informatiques externes, du fait de l’ampleur de cette intrusion.

David Whelan :         Oui, c’est une très grande quantité de données. Je disais à Phil tantôt qu’on peut connaitre la quantité de données utilisée sur sa connexion Internet à la maison ou sur son téléphone. Et ça défie l’entendement qu’une telle quantité de données, environ 2,6 TB, puisse disparaitre de votre cabinet ou sortir de votre réseau sans que personne ne s’en aperçoive.

Phil Brown :              S’ils visionnaient des films au cabinet, ça ferait beaucoup de films. Ils auraient dû constater une augmentation assez conséquente de l’utilisation des données. C’est étrange qu’ils n’aient pas remarqué cela rapidement, jusqu’à ce que tout ça apparaisse sur Internet partout dans le monde. Imaginons quelques scénarios différents et parlons des correctifs.

David Whelan :         Les correctifs sont des logiciels qui vous sont envoyés après que vous avez acheté du matériel informatique ou un autre logiciel. Un correctif est censé corriger le logiciel que vous avez acheté, ou combler une faille qui a été trouvée dans le logiciel original. Certains correctifs sont des améliorations, ils améliorent la fonctionnalité du logiciel.
                                   Mais très souvent, particulièrement en ce qui concerne les logiciels tels que Adobe Flash, les correctifs comblent une faille au niveau de la sécurité, qui n’avait pas été repérée lorsque le logiciel ou le matériel informatique a été lancé, et qui doit à présent être réparée pour rendre le logiciel sécuritaire.

Phil Brown :              C’est vrai qu’aujourd’hui, avec nos téléphones portables et les applications qui y sont mises à jour tout le temps, certains de ces correctifs font réellement un travail de mise à jour. Mais d’autres ne font que récupérer les données d’utilisation de l’application.

David Whelan :         Oui, je crois qu’il y a de tout et je ne suis pas sûr qu’il existe un moyen de limiter cela. Si vous réfléchissez aux divers types de correctifs de logiciel auxquels vous devez faire attention, ils sont dans quelques catégories distinctes. Les plus simples sont les micrologiciels, qui se trouvent sur votre matériel, comme votre téléphone cellulaire par exemple. Il y a un micrologiciel dans votre téléphone, ou encore sur votre routeur sans fil.

Il y a un micrologiciel dans votre ordinateur, comme le système BIOS par exemple. C’est un peu le logiciel clé qui dit à votre ordinateur comment fonctionner. Souvent, ce logiciel est mis à jour de façon périodique, tous les 2 ans par exemple. Dans certains cas, on peut mettre en question l’utilité d’effectuer cette mise à jour. Il s’agit généralement d’une mise à jour des fonctionnalités plutôt que de la sécurité du logiciel. Une telle mise à jour peut parfois endommager de façon permanente votre téléphone, tablette ou ordinateur, le rendant inutilisable.

Phil Brown :              Il vaut mieux ne pas utiliser certains de ces correctifs, certains d’entre eux ne sont plus mis à jour après un certain temps avec certains micrologiciels. C’est pour cette raison que nous avons parlé, dans un autre balado, de la nécessité de parfois changer le matériel informatique complètement après quelques années, parce qu’il pourrait y avoir des failles au niveau de la sécurité qui ne sont plus réparées.

David Whelan :         D’accord. Donc l’absence de mise à jour pour votre micrologiciel ne veut pas dire que votre système est sécuritaire. Cela signifie généralement que votre fournisseur n’est pas passé du produit que vous avez à un autre produit. Donc si vous avez un produit que vous pouvez jeter, comme une antenne sans fil de qualité commerciale bon marché, ou un routeur à votre domicile, ça pourrait être une bonne idée de les jeter après un an ou deux, même s’ils fonctionnent encore, parce que vous ne pouvez pas être sûr que le logiciel qui y est installé est encore fiable.

Phil Brown :              Généralement, quand vous recevez un avis de mise à jour de logiciel, vous pouvez cliquer sur un onglet pour avoir plus d’information sur le contenu de la mise à jour.

David Whelan :         En effet. Windows 10 est un très bon exemple de choses positives et négatives. Windows 10 est le système d’exploitation qui est en train de remplacer tous les systèmes Windows antérieurs et il transmet les mises à jour d’une nouvelle manière, c’est-à-dire automatiquement. On ne peut pas choisir de se retirer des mises à jour, comme c’était le cas auparavant.

Sur Windows 7 ici au Barreau, je peux voir plus d’informations. Et si je ne veux pas télécharger une de ces mises à jour, j’ai ce choix. Mais avec Windows 10, je n’ai pas le choix. Et il y a des mises à jour. D’ailleurs, je viens de retirer 10 mises à jour sur Windows 7 qui visaient à me préparer pour une mise à niveau vers Windows 10. Donc il y a vraiment des mises à jour dont on se dit « je n’en ai peut-être pas vraiment besoin ».

Phil Brown :              Et il ne s’agit pas de vraies mises à jour.

David Whelan :         Pas vraiment, non. Ce sont des correctifs, qui pourraient ou non s’appliquer à votre cas. Je crois que dans la plupart des cabinets d’avocats où il y a du personnel responsable des TI, celui-ci choisit quelles mises à jour appliquer, parce qu’elles ne seraient pas nécessairement utiles à tout le monde. Et tout comme les micrologiciels, elles pourraient nuire à votre ordinateur.

Phil Brown :              Et il existe aussi maintenant des correctifs pour les navigateurs Web.

David Whelan :         Exactement. Donc les correctifs de micrologiciels sont les correctifs qui s’appliquent au niveau du matériel informatique. Le système d’exploitation peut faire l’objet d’un correctif, et il faut appliquer celui-ci. En ce qui me concerne, je permettrais toute mise à jour visant mon système d’exploitation.

Mais au-delà de cela, il y a toutes vos applications. Ici, on peut sélectionner les mises à jour à appliquer au cas par cas. Mais pour donner un exemple, en ce qui concerne les navigateurs Web, si vous ne sélectionnez pas toutes les mises à jour, vous courez le risque d’aller sur un site Web et de télécharger quelque chose que vous ne vouliez pas télécharger.

Phil Brown :              Nous avons déjà parlé de la navigation et d’accorder ou de retirer les permissions. Lorsque vous le sortez de la boite, le paramètre est programmé sur « modéré » et il s’agit là d’une boite virtuelle, parce que vous n’avez pas besoin d’aller acheter un autre navigateur. Mais si vous utilisez Google Chrome ou quelque chose comme ça, il est vraiment recommandé de modifier certains des paramètres de sécurité, pour ne pas avoir des programmes qui s’ouvrent automatiquement et qui effectuent des choses en arrière-plan sans que vous ne sachiez ce qui se passe.

David Whelan :         Probablement la meilleure chose qui soit arrivée ces quelques dernières années et depuis l’arrivée de Windows 10 – je veux dire que d’une certaine manière, Windows 10 est en train de faire ça et je crois que l’absence de contrôle agace beaucoup de gens, mais on voit plus de mises à jour automatiques. On les voit depuis longtemps sur Mac et sur Linux aussi.

Donc ce genre de mises à jour régulières et périodiques, plutôt qu’un gros paquet de mises à jour, signifie que votre ordinateur reçoit des correctifs beaucoup plus fréquemment, sans intervention de votre part. Donc ces mises à jour automatiques seront publiées en continu, au fur et à mesure qu’elles seront disponibles, plutôt qu’en une seule fois.
Donc s’il y a eu une intrusion ou un problème sur le navigateur Web Firefox par exemple, dès que le correctif est disponible, il est publié et « poussé » vers tous les utilisateurs. Le navigateur se met alors à jour automatiquement, et il n’y a pas de meilleur moyen d’obtenir ce correctif que de laisser le navigateur ou les autres applications se mettre à jour automatiquement.

C’est la même chose pour Microsoft Office, si vous l’avez sur votre ordinateur avec Windows 10. Même si vous avez une version plus ancienne de Windows, vous pouvez la paramétrer pour qu’elle recherche des mises à jour à Office et qu’elle les télécharge automatiquement.

Phil Brown :              Parlons des choses qui n’ont pas de correctifs, mais qui pourraient être à l’origine de quelque chose comme l’intrusion des Panama Papers : le personnel de votre cabinet.

David Whelan :         Oui, le seul « correctif » pour le personnel, c’est la formation. Le mieux qu’on puisse faire, c’est de s’assurer qu’il est formé sur la bonne utilisation de l’outil informatique. À part ça, il faut avoir confiance qu’il fera preuve de bon jugement quant aux liens à ne pas cliquer et aux applications à ne pas installer sur leur ordinateur.

Phil Brown :              Je crois qu’il est important au tout début, avant d’embaucher un employé, de songer à mener une vérification des références qui impliquerait aussi une vérification d’ordre financier, comme une vérification de solvabilité par exemple et une vérification du casier judiciaire, pour mieux savoir qui sont les personnes que vous voulez embaucher.

David Whelan :         Absolument. Et si vous pensez qu’un de vos employés est mécontent, vous devriez être conscient de son niveau d’accès. Si votre réseau et votre environnement ont été configurés pour ne donner à chaque utilisateur que l’accès dont il a besoin – ce qui est la meilleure configuration possible – vous ne vous exposez pas à de gros risques.

Mais en réalité, dans un petit cabinet ou chez un avocat exerçant seul, tout le monde a accès à plus ou moins tout, parce que tout le monde remplit plusieurs rôles. C’est là qu’il faut être bien conscient du risque de se faire subtiliser beaucoup d’information par le biais d’une clé USB ou d’un disque dur portable, parce que beaucoup de choses sont devenues portables de nos jours et on peut tout copier sur un dispositif portable et le faire sortir d’un cabinet.

Phil Brown :              Il y a aussi des autorisations de sécurité que vous pouvez paramétrer au niveau de vos ordinateurs et de vos services, par exemple pour empêcher que quelqu’un puisse y connecter une clé USB ou un disque dur externe.

David Whelan :         Exact. Ce n’est pas une mauvaise idée. Encore une fois, selon votre activité et votre pratique, le simple fait de savoir comment vous pouvez sécuriser votre matériel informatique de risques à l’interne, mais aussi de risques d’intrusions de l’extérieur, est utile.

Phil Brown :              Donc c’est une bonne idée d’avoir une politique du cabinet concernant quel usage les utilisateurs peuvent faire des ordinateurs, par ex. : est-ce qu’ils sont autorisés à payer leur facture d’électricité en ligne, à connecter une clé USB, etc., et de consigner ces politiques par écrit. Ce genre de politiques devrait être appliqué et faire l’objet de contrôle.

David Whelan :         Oui. Je parie que le cabinet au Panama aurait préféré que ce qui s’y passait ne filtre pas à l’extérieur. Il vaut mieux ne pas se retrouver dans une situation où les journalistes ou d’autres parties intéressées ont accès à vos informations ou aux activités de vos clients.

Phil Brown :              Et très rapidement, nous avons parlé brièvement de ça tout à l’heure – est-ce qu’il est possible de savoir si des informations sortent de votre cabinet, et pourquoi vous ne pouvez pas forcément le savoir.

David Whelan :         Oui. Évidemment, vous pourriez savoir la quantité de données qui entre et qui sort de votre cabinet, simplement en demandant à votre fournisseur d’accès Internet. Ces renseignements sur la consommation de données sont souvent disponibles directement à partir du dispositif ou du matériel informatique.

Une chose qui est intéressante est qu’avec les avancées en termes de cryptage de l’information, lorsque vous envoyez une demande de votre navigateur Web ou que vous téléversez un fichier, ce dernier est souvent crypté et transmis sur une connexion cryptée. Il devient donc difficile, même si vous surveillez cette connexion, de savoir quelles informations y sont transmises.
 
Auparavant, on pouvait voir le contenu des fichiers parce qu’ils étaient transmis en texte non crypté. Maintenant qu’ils sont cryptés, c’est devenu plus difficile de savoir quelles informations entrent ou sortent du cabinet, et si ces informations devaient en sortir.

Phil Brown :              Il est toujours utile de vérifier votre utilisation de données à votre bureau personnel, à votre cabinet, ou d’un réseau Wifi quelque part, pour voir s’il y a des pics de consommation. Il faudrait que quelqu’un sache ce qui se passe.

David Whelan :         Oui. C’est un peu comme votre compte en banque. Si vous aviez une transaction inhabituelle, votre banque vous appellerait. Vous pouvez paramétrer ce type d’alertes pour votre utilisation de données, de façon à ce que quelqu’un reçoive un avis par courriel par exemple.

Phil Brown :              Très bien. Merci David.

David Whelan :         Merci Phil.

Explication des termes et concepts