Suite au piratage sans précédent ayant entraîné l'arrêt de la diffusion des programmes de TV5 Monde, Thierry Karsenti, vice-président en charge de l’engineering et des nouvelles technologies pour l’Europe chez le fournisseur de solutions de cybersécurité Check Point, revient sur cette attaque qui a également visé le site internet et les réseaux sociaux de la chaîne de télévision. Comme pour l'attaque qu'a connue Le Monde en janvier dernier, les hackers seraient vraisemblablement passés par l'envoi de mails frauduleux pour s'introduire dans l'un des ordinateurs du groupe puis dans l'ensemble du système informatique.
L'Usine Digitale - Quel est votre sentiment concernant l'attaque informatique dont a été victime TV5 Monde ?
1 - La fenêtre d’affichage s’ajuste à la taille de l’écran sur lequel se trouve le mobinaute (ordinateur fixe, tablette, smartphone…).
2 - Le contenu adopte les dimensions de la fenêtre d’affichage, pour éviter aux internautes de devoir zoomer et se déplacer horizontalement sur les pages pour lire les différents contenus.
3 - Les tailles de polices sont évolutives en fonction de la taille de l’écran pour améliorer la lisibilité.
4 - Les éléments tactiles sont facilement accessibles aux doigts des mobinautes et suffisamment espacés entre eux pour éviter de toucher un autre bouton par inadvertance.
5 - La conception et les mouvements visuels proviennent d'une technologie dédiée aux mobiles (par exemple, la plupart des navigateurs pour mobile n’affichent pas de contenu Flash).
Pour obtenir la mention "mobile friendly" tant convoitée, il vous faudra utiliser l’une des trois configurations reconnues et supportées par Google, à savoir :
1 - Le Responsive Web Design : peu importe l’appareil utilisé (ordinateur, mobile ou tablette), le même code HTML s’affiche sur la même URL. Google recommande aux webmasters d’utiliser ce type de modèle.
2 - La diffusion dynamique (ou dynamic serving) : l’URL reste la même quel que soit l’appareil utilisé. Néanmoins, une version différente du code HTML est générée pour chaque type de device.
3 - Les URLs distinctes : il s’agit du modèle le plus complexe puisque le code HTML diffère en fonction de l’appareil utilisé et que les URL sont à chaque fois distinctes.
Pour savoir si votre site est compatible mobile, c’est très simple. Dans un premier temps, vous pouvez effectuer des recherches relatives à votre site et vos mots-clés sur Google version mobile. Si vous observez la mention "site mobile", tout va bien, il est compatible selon les critères de Google. N’hésitez pas également à tester vos pages sur Google webmaster tools dans l’outil nommé "Test de compatibilité mobile”. Il suffit de rentrer l’URL de votre page et de voir si elle est compatible.
Si plus de 25% du trafic de votre site provient d’appareils mobiles alors il ne faut pas tarder à le rendre mobile, mais il faut toujours se méfier des effets d’annonce de Google. Je conseille de rester en phase d’observation dès ce 21 avril et surtout de regarder l’évolution de votre trafic grâce à Google Analytics. Mais gardez en tête qu’adapter votre site au mobile ne pourra vous être que bénéfique !
Thierry Karsenti - Cette attaque a eu des conséquences dramatiques pour TV5 Monde : interruption des programmes, publication de messages de propagande de l'Etat islamique sur son site internet et les réseaux sociaux, ce qui représente logiquement un scénario noir pour une chaîne de télévision. Si l'enquête est encore en cours, il semble que le système informatique a été fortement détérioré : le retour de l'antenne devait se faire en quelques heures et il a finalement pris pratiquement une journée.
L'attaque a également des conséquences sur les conditions de travail des salariés, avec l'interdiction d'utiliser les moyens de communication fournis par l'entreprise comme les mails, ce qui est relativement problématique pour un média. Dans ces conditions, le directeur général de la chaîne a, de son côté, été contraint de s'exprimer grâce à une vidéo postée depuis un téléphone mobile pour communiquer officiellement sur cette attaque.
Comment les cyberdjihadistes sont-ils parvenus à leurs fins ?
L'attaque qui a visé TV5 Monde rappelle celle qu'a connue le journal Le Monde en janvier dernier, dans la foulée des attentats à Paris. A l'origine, les hackers envoient un mail frauduleux en usurpant l'identité d'un tiers de confiance. On parle alors de phishing ciblé, ce qui nécessite de l'ingénierie sociale pour identifier les failles de la ou des potentielles victimes pour cette première intrusion. Dans le cas du Monde il s'agissait d'un mail signé d'un confrère de la BBC. Le problème c'est qu'une fois qu'un ordinateur a été attaqué il est difficile de s'en rendre compte. Comme pour votre carte bancaire : si on ne vous l'a pas volée physiquement, il sera compliqué de remarquer que vous vous êtes fait dérober son image numérique avant de constater les dégâts sur votre compte en banque. hacker peut ensuite s'attaquer à l'ensemble du système informatique de l'entreprise avec des opérations de vandalisme ou de sabotage sur les serveurs. Les attaques par déni de service, qui bloquent l'accès à un site internet, ou le piratage des sites et réseaux sociaux représentent ainsi seulement la partie émergée de l'iceberg. Selon les objectifs des organisations terroristes, une action menée sur le long terme peut se rapprocher du cyberespionnage en collectant des informations pendant un certain temps en vue de préparer une attaque informatique de grande ampleur avec des destructions de données précieuses ou un attentat par exemple. Suite à l'attaque du Monde, un brouillon d'article signé de Daech avait été retrouvé dans l'outil éditorial du journal !
Quelles sont les mesures à prendre pour éviter que de tels événements ne se répètent ?
Aujourd'hui, avec la place croissante qu'occupe le numérique dans l'économie, il faut prendre conscience que le risque de cyberattaque existe et qu'il va falloir apprendre à vivre avec. Pour cela il y a plusieurs mesures à prendre. Tout d'abord il ne faut pas négliger la dimension humaine. La messagerie reste en effet le premier vecteur des attaques informatiques et il faut donc sensibiliser les salariés aux bonnes et mauvaises pratiques. Lorsque vous quittez votre maison, il vous semble naturel de fermer la porte. De la même manière, vous ne laissez pas d'objets de valeurs visibles quand vous garez votre voiture. C'est ce genre de réflexes qu'il faut adopter en informatique.
Le deuxième dimension est technologique : comme dans l'automobile avec l'airbag, il y a un minimum de protections à adopter. Il est par exemple important de rester à jour pour pouvoir faire face aux nouvelles attaques. Le dispositif le plus sécurisé qui soit mais vieux de cinq ans ne résistera pas.
Enfin, il faut prendre en compte le cadre réglementaire, qui se révèle trop faible en France. Contrairement aux Etats-Unis, une entreprise victime d'un vol de données personnelles n'est pas tenue d'en informer les utilisateurs concernés. Ce fut ainsi le cas pour Orange l'an dernier. Suite à un vol massif de données, la Cnil lui a simplement adressé un rappel à l'ordre. L'arbitrage entre liberté et sécurité est affaire de sensibilité individuelle et collective mais ce qui est évident c'est qu'il y a des choses à faire.
L'Oculus Rift et le HTC Vive ne sont pas les seuls en lice dans la bataille des expériences de réalité virtuelle haut de gamme. Là où les deux leaders se concentrent sur le marché grand public, d'autres visent les professionnels du divertissement, comme les parcs d'attraction ou les salles de jeux. C'est le cas du StarVR, pour lequel le suédois Starbreeze vient de s'associer avec le constructeur Acer.
Le constructeur taiwanais Acer et l'éditeur de jeux vidéo suédois Starbreeze ont annoncé le 15 mai leur intention de créer une co-entreprise dédiée à la production de casques de réalité virtuelle haut de gamme pour les salles de jeux et les parcs d'attraction. Le casque en question se nomme StarVR et se démarque des offres grand public haut de gamme comme l'Oculus Rift et le HTC Vive par son champ de vision beaucoup plus large, de 210° de large et 130° de haut contre seulement 110° x 100° pour ses concurrents.
Starbreeze l'avait présenté pour la première fois l'été dernier à l'E3, la grand-messe annuelle du jeu vidéo à Los Angeles. A l'origine, StarVR était le projet de trois français basés à Toulouse et s'appelait InfinitEye. Son développement remonte donc à 2013, et s'est poursuivi discrètement pendant deux ans avant que Starbreeze n'en fasse l'acquisition. L'alliance avec Acer va permettre au projet de passer une nouvelle fois à la vitesse supérieure en apportant à Starbreeze une expertise manufacturière qui permettra d'industrialiser efficacement la production des casques. Acer travaille par ailleurs sur des ordinateurs conçus pour les faire fonctionner de façon optimale.