Il aura fallu attendre deux semaines pour que le hack d’un serveur d’Orange soit rendu public. Hack qui, aux dires de l’opérateur, aurait porté sur un peu moins d’un million de comptes (800 000 plus exactement). Une paille après l’affaire Target, mais peut-on établir un « hit parade du piratage » dans lequel les centaines de milliers d’identités perdues seraient comparées aux millions de comptes évaporés par un autre ?
Au nombre des données dérobées, les noms, prénoms, adresse email, adresse postale numéro de téléphone fixe et mobile… et numéros de RIB partiels. Assez pour forger une formidable opération de phishing avec de véritables morceaux d’authentification forte dedans. « Les mots de passe de ces comptes n’ont pas été saisis » affirme un porte-parole du groupe. Voilà une excuse relativement peu rassurante, surtout venant de la part d’un acteur majeur dans le monde de la SSI. Plus de 80 % des mots de passe utilisés sur Internet sont « uniques et communs », le nombre d’enquêtes sur le sujet le prouve quasiment chaque semaine. Et quand bien même ceux stockés par Orange n’auraient pas été dérobés que le risque n’en serait pas moins grand. Plus préoccupant encore, ce conseil distillé par la lettre d’avertissement expédiée aux usagers-victimes : « aucune action de votre part n’est requise ». Hormis, peut-être, celle consistant par mesure de précaution élémentaire, de changer rapidement tous les mots de passes de tous les services Internet utilisant cette adresse email en guise d’identifiant.
Les grandes entreprises Françaises ont encore beaucoup de chemin à parcourir en matière de communication de crise avant que de savoir avouer de manière objective la faillibilité de leurs propres systèmes d’information. Abandonner les « seulement », les comparaisons statistiques hors de propos, les circonvolutions de langage, les précisions inutiles sur les choses qui « n’ont pas été volées », autant de dires ne visant qu’à minimiser la gravité des faits… et qui surtout ne provoquent qu’un effet contraire. Le hack est-il si important que l’opérateur historique puisse souhaiter en masquer l’importance ? Les exemples ne manquent pourtant pas (http://datalossdb.org/) qui montrent à quel point cette attitude ne joue pas en faveur d’un renforcement de la confiance accordée.
D’un point de vue professionnel, la mésaventure d’Orange pourrait provoquer quelques conséquences positives. A commencer par faire prendre conscience aux politiques qu’il serait peut-être temps de revenir sur des encadrements législatifs inadaptés, votés peut-être parfois plus par clientélisme que dans le but réel de protéger le tissu industriel national. De LCEN en Loppsi, de flicage intérieur (la majorité des piratages est piloté en dehors de nos frontières) en contraintes légales, la liberté d’action cyber-défensive a été restreinte peu à peu au point de pouvoir envoyer devant les Assises une société de services chargée d’un audit SSI mal défini. Les contrats de tests de pénétration, par exemple, deviennent de plus en plus complexes et limités, devenant par conséquence de moins en moins réalistes en comparaison de ce qui se passe dans la « vraie vie du monde de l’intrusion ». Aux yeux de ces lois, la sécurité informatique n’est pas un processus adaptatif, mais une série de recettes précises et définies.
