D'après le président des États-Unis, les hackers ont 197 de QI et doivent avoir 15 % des mots de passe de leur victime pour réussir leur coup. C'est d'ailleurs pour ça que « personne ne se fait hacker ». Cette déclaration est évidemment fausse, mais cache un discours dangereux, qui minore une menace bien réelle qui concerne tout le monde.

Une fois de plus, le président de la première puissance mondiale, Donald Trump, a fait une sortie médiatique remarquée, lors d’un meeting de campagne dans l’Arizona qui se tenait  le 19 octobre,

«  Personne ne se fait hacker. Pour se faire hacker, il faut quelqu’un avec 197 de QI et il doit connaître 15 % de vos mots de passe  », affirme avec assurance le candidat sortant à l’élection présidentielle.

Le propos est grossier et a déclenché l’hilarité dans le secteur de la cybersécurité. Mais peut-être est-il sorti de son contexte ? Nous vous laissons juger : le président se félicitait de la récente mise à l’écart du journaliste politique Steve Scully, figure de la chaîne de télévision C-Span. Il avait été nommé par la Commission des débats présidentiels pour modérer un des débats télévisés entre les candidats Trump et Biden, jeudi 15 octobre.

Je porte une capuche, j’ai 197 de QI et je tape de façon aléatoire sur un clavier. Je suis… ? // Source : Magnus916

Attaqué de façon répétée sur Twitter par le président, le journaliste s’était fendu le 8 octobre d’un tweet agacé, envoyé à l’ancien directeur de la communication de la Maison Blanche Anthony Scaramucci, demandant s’il devait répondre à Donald Trump. Rapidement, ce message, jugé trop agressif, a été érigé par le président et ses partisans en symbole de l’impartialité supposée de Scully. Face à la controverse, le journaliste a menti en disant que son compte Twitter s’était fait pirater, et qu’il n’avait donc pas lui-même envoyé le message. Il a maintenu cette version des faits pendant plusieurs jours, soutenu par la chaîne, avant d’admettre publiquement son mensonge, et d’être mis à l’arrêt par C-Span.

Le président a jubilé face à cette révélation, qui appuie un discours dans lequel il serait défavorisé par les médias. Et en plus, c’est la preuve que lui, Donald Trump, était certain que Scully n’avait pas été piraté, car il sait comment fonctionne le hacking.

Tout le monde se fait hacker (à commencer par Donald Trump)

À peine l’homme politique a-t-il affirmé que personne ne se fait hacker que la presse américaine ressortait ses vieux dossiers. Techcrunch rappelle que la chaîne d’hôtel du président s’est faite pirater deux fois, la première entre 2014 et 2015, la seconde entre 2016 et 2017. Et on ne parle pas de petites fuites avec quelques noms et adresses email.

La chaîne d’hôtel a été forcée légalement de communiquer, car dans les deux cas, les informations de cartes de crédit des clients (du nom du propriétaire au code CVV à 3 chiffres) ont été exposées. La deuxième fuite, que le groupe attribue à un prestataire chargé de la réservation, contenait aussi les emails, numéros de téléphone et autres informations personnelles des clients de 14 hôtels. Le nombre exact de victimes de la fuite n’est pas public, mais il serait à minima de l’ordre de la centaine, plus vraisemblablement du millier voire de la dizaine de milliers d’individus.

De son côté, Forbes a déterré un tweet que Donald Trump avait envoyé en 2013, dans lequel il disait que son compte Twitter avait été « sérieusement hacké ». Le célèbre @realDonaldTrump avait publié des paroles de la chanson Scream and shout de will.i.am.

Et ce n’est pas tout ! Un des mots de passe du président, « yourefired » (« tu es viré » en français), fait partie de la gigantesque fuite de LinkedIn perpétrée en 2012 et accessible à gratuitement sur plusieurs forums de hackers depuis 2016. Plus tôt cette année, des cybercriminels ont mis aux enchères des fichiers — supposément confidentiels — sur le président des États-Unis.

Bref : Donald Trump est familier avec les histoires de hacking. D’ailleurs, en tant que président des États-Unis, il y est particulièrement exposé en cette période électorale. Le renseignement américain s’inquiète des tentatives d’ingérence étrangères, alors que les équipes de campagnes des deux candidats doivent déjà contenir des tentatives de piratage.

N’importe qui peut hacker (et c’est un problème)

Vous vous doutez bien, il n’y a pas besoin d’avoir 197 de QI, ni d’être un homme, ni d’avoir 15 % des mots de passe de la victime pour hacker quelqu’un, comme l’affirme le président. D’ailleurs, pas besoin non plus de porter un sweat à capuche, ni de taper très vite sur un clavier, ni de le faire dans le noir complet.

Oui, il existe, une bataille d’un haut niveau de technicité, entre des criminels toujours mieux armés en ressources humaines et matérielles et des défenseurs qui doivent protéger tant bien que mal des réseaux de plus en plus complexes. Les meilleurs hackers sont rusés, et ils chercheront toujours un moyen de pénétrer un système, puisque la sécurité absolue n’existe pas.

Mais aujourd’hui, n’importe quel hacker du dimanche peut s’essayer au phishing ou à d’autres méthodes basiques. Le piratage n’est pas toujours technique, et il suffit parfois de convaincre sa victime avec les bons mots, et obtenir les bonnes informations. Un simple ordinateur, même peu puissant, permettra de lancer des cyberattaques.

De l’autre côté du spectre, n’importe qui peut être touché, même les personnes les mieux éduquées aux problématiques de cybersécurité. Un moment d’inattention, une situation d’urgence, une longue journée remplie d’émotions, et on tombe dans un piège en apparence grossier, qui paraîtra évident a posteriori.

Voilà pourquoi les propos de Trump sont presque dangereux, tant ils minorent une menace bien réelle. Il est donc bon de rappeler que les risques de piratage ne doivent jamais être négligés, et que personne n’est hors de portée, pas même un journaliste célèbre ou le président des États-Unis.

Crédit photo de la une : CCO/Gage Skidmore, Flickr

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux