Les Etats-Unis gangrénés par les failles informatiques
par Asouhait
mercredi 22 avril 2009
Le pays est exposé aux attaques cybernétiques de toutes provenances.
Un rapport d’information en préparation réclamé par la Maison Blanche sur « Les plans, programmes et activités » pouvant conforter la « cybersécurité » des infrastructures des Etats-Unis viendra à point nommé. Outre des failles informatiques dans des secteurs clefs, subsitent des constances non réglées dans tous les secteurs d’activités. Les organismes officiels compétents seraient-ils dépassés ?
En dix ans, les Etats-Unis ont recensé, cent vingt cinq incidents de sécurité dans des systèmes SCADA : ces systèmes vulnérables sont utilisés dans des centrales nucléaires, des usines de traitement de l’eau et des plateformes pétrolières. Les incidents peuvent être des dysfonctionnements autonomes ou aggravant un problème déclenché par ailleurs, des attaques réussies d’employés ou de consultants externes. Selon le rapport de synthèse N°757 du Sénat américain rendu public le 20/03/2009, les catastrophes peuvent être multiples : matérielles, environnementales, humaines.
Dernièrement un consultant informatique pour une mission de courte durée par une pipeline californienne s’est vu refusé une embauche ferme par son employeur. D’après Wired du 18/03/2009 et District Court of California, Il s’est vengé en mettant hors service un système destiné à la détection des fuites dans la pipeline.
Plus préoccupant, le réseau électrique américain est compromis par des attaques cybernétiques Des cyberpirates y ont introduit des virus dont les conséquences éventuelles seraient majeurs rapportent Le temps.ch du 11 avril 2009 et La Grande Epoque du 17 avril 2009.
Les attaques « semblent généralisées dans tous les États-Unis et ne ciblent pas une compagnie ou une région particulière », a mentionné au Wall Street Journal un ex-responsable du ministère de la sécurité intérieure. Ces brèches pourraient devenir une arme en cas de conflit géopolitique.
Dans un rapport récent, le Government Accountability Office pointe du doigt les graves manquements de l’autorité américaine de surveillance des marchés qui n’a pas pris les mesures adéquates pour sécuriser son système d’information. La politique de sécurité n’impose pas de mots de passe forts. Le partage de comptes entre utilisateurs pour utiliser une application clé de l’institution est autorisé. Des informations et des communications sensibles de l’institution ne sont pas chiffrées. Des mots de passe circulent en clair. La surveillance est insuffisante. Un précédent rapport du GAO resté lettre morte pointait déjà ces défaillances rappelle le Network World du 18/03/2009.
Un employé d’un fournisseur du ministère de la défense des Etats-Unis d’Amérique a divulgué sur internet, par inadvertance, les plans de Marine One. Ces informations très sensibles sur l’hélicoptère du président de Etats-Unis se sont répandues via un réseau pair à pair nous apprennent Wxpi du 01/03/2009 et Cnet news du 28/02/2009. De toute évidence stocker des informations très sensibles sur des ordinateurs connectés sur le net sur lesquels il est fréquent que des logiciels pair à pair sont installés est un facteur supplémentaire de risques de fuites.
Cyberdémocratie et citoyenneté, la sécurité des machines à voter toujours décriée ! D’une part le constructeur Diebold admet l’existence de failles dans ses machines à voter, d’autre part un expert de la CIA a affirmé sous serment devant une commission officielle qu’il avait observé des fraudes électorales lors de scrutins électroniques au Venezuela, en Macédoine et en Ukraine. Information communiquée par The Register, USToday, Wired, State of California, Sanluisobispo, Schneier.
La police de NewYork confrontée au vol d’un support d’archivage non chiffré par un employé de fond de pension de cette institution qui contenait les noms, les adresses, numéros de sécurité sociale et comptes bancaires de policiers en activité et à la retraite révélaient New York Post du 04/03/2009, New York City. Le chiffrement des données sensibles peut pourtant être réalisé à l’aide de solutions matérielles présentant l’avantage de ne pas nécessiter de logiciel spécifique.