|
Quatre pirates informatiques comparaissent devant la justice depuis le début du mois et risquent de passer plusieurs années derrière les barreaux.Ils ne sont que la face visible du cyber-iceberg de la fraude sur le Net marocain. Zoom sur les sites passoire.gov.
***
Jeudi 6 mai, à quelques jours de L’Boulevard (du 13 au 16 mai), les fans du festival de musiques alternatives ont fait la connaissance de « Dr Cef », « Nuux », « Mouncif », « Sniper 007 », « Dj Bond » et « Tangeroooooo ». Ces hackers ont squatté pendant quelques heures la page d’accueil du site de l’événement. « The site has been bombed » (le site a été attaqué) trônait fièrement à côté du nom de la « team » qui a réalisé l’intrusion, « Ghosts of Morocco ». Bien que tout soit rentré dans l’ordre assez rapidement, l’incident à provoqué quelques sueurs froides aux organisateurs.
Autre affaire : lundi 3 mai, quatre personnes, un technicien, un employé, un ingénieur d’État et le directeur général d’une entreprise qui emploie tout ce beau monde comparaissaient devant le Tribunal de première instance de Rabat. A l’origine de l’affaire, une plainte déposée par le ministère de l’Énergie et des Mines. Le département d’Amina Benkhadra a vu ses bases de données partiellement détruites ; un acte de « vengeance » perpétré par ces anciens employés mécontents de ne plus voir leur contrat renouvelé, si on en croit les premières conclusions de l’enquête. Les charges retenues sont lourdes : « accès frauduleux et modification du système de traitement informatisé », « destruction de données », « blocage du système de traitement », « outrage à la police judiciaire » et « fausse déclaration ». L’affaire est toujours en justice et les prévenus risquent plusieurs années de prison.
Le ministère de la Justice pris d’assaut
Depuis une dizaine d’années, la démocratisation du Net s’est accompagnée du boom du piratage en tout genre, une pratique dans laquelle les Marocains sont passés maîtres. Le détournement de sites Web figure en tête des délits de cybercriminalité qui se sont multipliés ces derniers temps. Des sites Web marocains, et non des moindres, font régulièrement l’objet de prises de contrôle. Récemment, la « Team Evil », auteure de près de 350 intrusions contre des sites israéliens, s’en est prise au portail de la primature. Les pirates ont troqué la tête du pauvre Abbas El Fassi contre celle de Che Guevara, accompagnée de slogans communistes et surplombée par la phrase « Sawt Achaâb » (la voix du peuple). Mieux (ou pire) : le 6 avril dernier, le site de l’Agence nationale de réglementation des télécommunications (ANRT) a été victime d’une attaque. Le 22 avril, c’était au tour du ministère de la Justice d’être pris d’assaut par la « Team Rabat-Salé ».
La toile marocaine est devenue un cyberparadis pour les hackers, ce qui fait dire à Hamza Harouchi, consultant en sécurité informatique dans une entreprise marocaine, que « les sites officiels marocains sont très mal protégés ». « Le niveau de vigilance est trop bas comparé au degré de maturité auquel sont arrivés les hackers », poursuit notre expert.
La MAP aussi
Souvent mal conçus et peu ergonomiques, les sites Web « officiels » sont par ailleurs peu sécurisés. A l’origine de ce relâchement, un problème de mentalité, comme nous le confirme à travers un exemple, Abderrazak Mazini, juriste spécialisé dans les technologies de l’information. Depuis un mois, en cliquant sur quatre déclinaisons du nom du site de l’agence nationale de presse, la MAP, l’internaute est dirigé vers des pages hostiles à la thèse marocaine sur le Sahara. « Nous avons alerté l’agence MAP contre cette utilisation frauduleuse. Nos mises en garde sont restées lettre morte », regrette Mazini.
Du cyber-larcin au cyber-casse
Que cherchent donc nos hackers ? « La plupart sont en quête uniquement de reconnaissance. Ils envoient des avertissements aux administrateurs des sites avant de réaliser une intrusion. Le problème, c’est qu’au Maroc on ne prend même pas la peine de leur répondre », explique Hamza Harouchi. De plus, même quand un ministère est sensibilisé, il est en général lent à réagir. « Le temps qu’un appel d’offres soit lancé pour mettre en place un système de sécurité, la maquette du site est changée et il faut recommencer tout le travail », se désole notre consultant.
Dans le monde du hacking à la marocaine, il faut distinguer deux profils : d’un côté, l’ado qui découvre le piratage simplifié grâce à des logiciels « plug and play » (on branche, on joue) et qui fait cela pour la « frime » et de l’autre, le hacker mature, qui, s’il « exerce », le fait essentiellement pour l’argent. Depuis quelques années, certains de ces pirates ont pris de la bouteille et se sont convertis en bandes criminelles spécialisées dans les cyber-casses. Modus operandi : l’internaute est dirigé sur un faux formulaire dans lequel il note ses informations bancaires. Un robot informatique les récupère ensuite, permettant aux pirates d’utiliser les cartes de crédit ainsi détournées pour acheter en ligne.
Cyber-vide juridique
« Plusieurs de mes amis utilisent ce genre de données, mais toujours pour faire de petits achats que le titulaire de la carte ne remarque en général même pas : abonnement dans des jeux on-line, shopping, etc. », nous confie un jeune informaticien rbati. Des menus larcins qui se transforment rapidement en grosses opérations de détournement d’argent par les « teams » les mieux organisées. « Il est vrai que les banques sont plutôt vigilantes. Elles constituent d’ailleurs le plus gros de notre clientèle, précise Hamza Harouchi, cela n’empêche pas des pirates appâtés par le gain de faire dans le grand banditisme, en vendant des données personnelles ou en opérant dans l’espionnage industriel ». Exemple : en février 2006, les autorités avaient mis la main sur un réseau de falsification de cartes bancaires à Tanger. Les deux pirates appréhendés, un ressortissant marocain établi en Grande-Bretagne et un Britannique d’origine pakistanaise menaient la grande vie dans la capitale du détroit, dépensant quotidiennement près de 100 000 dirhams et ce grâce à 12 cartes bancaires piratées !
Cette prolifération de la cybercriminalité a une explication toute simple, selon Abderrazak Mazini : le vide réglementaire. « Le code pénal qui punit les intrusions dans les banques de données n’est pas appliqué tandis que la loi sur la protection des données personnelles, publiée dans le bulletin officiel, n’est pas mise en œuvre, la commission de suivi devant l’appliquer n’étant pas encore créée », s’insurge le juriste. Un conseil donc : faites attention là où vous cliquez !
Zakaria Choukrallah |
Trois questions Ă Abderrazak Mazini,
Juriste expert consultant en droit des technologies de l’information
« La sécurité des sites publics relève de l’amateurisme »
ACTUEL. Pourquoi nos sites sont-ils aussi facilement piratables ?
ABDERRAZAK MAZINI. Il n’y a pas de sites infaillibles. Mais quand il s’agit de toute une série de piratages de sites de ministères, il y a de quoi s’inquiéter. A quelques exceptions près, la conception, l’exploitation et la sécurité des sites publics relèvent de l’amateurisme. Il n’y a en effet ni autorité de labellisation des sites e-gov, ni normes de développement et d’exploitation, ni de charte graphique-type de conception.
Aujourd’hui, quelles sont les failles de la réglementation anti-piratage?
Il y d’abord lieu d’adopter en urgence un texte sur les droits et obligations des prestataires Internet (prestataires d’accès, hébergeurs, éditeurs de pages Web, etc). Il y a également nécessité d’adopter un texte sur les règles de collaboration des prestataires Internet en matière de prévention de la cybercriminalité. Mais il ne suffit pas d’adopter des textes ; il faut garantir leur opérationnalité à travers des mesures d’accompagnement.
Que risque un pirate comme sanctions pénales ?
En règle générale, les sanctions pénales et civiles que risque un pirate sont fonction de l’existence, ou non, d’une intention criminelle. Les articles du code pénal en matière de répression des accès non autorisés aux bases de données protégées distinguent entre les accès intentionnels et non intentionnels. Idem pour la loi relative aux droits d’auteur, telle que modifiée et complétée (téléchargement sur Internet). N’étant pas toujours au courant des textes, les juges prononcent des jugements parfois surprenants.
Propos recueillis par Z.C |
Un hacker témoigne…
Darkvador, 40 ans :
« Il ne faut faire confiance à personne sur le Net »
Hacker veut avant tout dire pénétrer logiquement ou physiquement là où on n’a pas réellement le droit de se trouver pour s’approprier ou modifier quelque chose de protégé. Le hack est souvent synonyme de transgression. Good old days, le phreaking consistait à consommer du temps de communication téléphonique, sans payer l’opérateur ou en faisant payer autrui.... Rapidement, mes hacks sont devenus logiciels - se rajouter des vies dans un jeu vidéo, déplomber un programme ou un contenu protégé payant pour l’utiliser ou pour le fun, altérer des données informatiques, puis sociales avec l’ingénierie sociale et le scam (« escroquerie à la cupidité » de la victime, ndlr). Pour se protéger, il ne faut pas cliquer n’importe où et ne faire confiance à personne sur Internet. Il faut aussi surveiller l’accès physique à son matériel, utiliser des mots de passe longs et formés de chiffres et de lettres mélangés pour décourager les adeptes de la « brute force attack », et surtout en changer régulièrement. |
|
