Le 21 octobre 2016, une attaque informatique d’envergure paralyse partiellement le Web et rend plusieurs gros sites américains inaccessibles [1]. Si l’attaque est jugulée au bout de quelques heures, elle nous rappelle surtout la vulnérabilité d’internet.
L’ampleur de l’attaque démontre tout d’abord l’étendue des fragilités des logiciels et des infrastructures de télécommunication. Ensuite, combinées avec notre dépendance accrue aux appareils connectés, ces vulnérabilités constituent de véritables armes de destruction massive.
La croissance exponentielle d’internet crée une multitude de dangers contre lesquels nous sommes souvent démunis. À commencer par l’émergence de menaces propres aux technologies déployées tous azimuts. Mais internet agit également comme catalyseur pour des menaces « plus traditionnelles».
Il devient urgent de faire de la cybersécurité une priorité absolue. Les États, garants de la sécurité publique, devraient bien entendu en être le fer de lance. Mais les organisations privées et les particuliers sont également concernés, tant la multitude des écueils en ligne apparaît aujourd’hui insondable.
Les (cyber)attaques
Le succès d’internet s’accompagne désormais quotidiennement de cyberattaques desquelles nous sommes tous des victimes potentielles. Ces attaques exploitent généralement les failles de sécurité logicielles et matérielles, ou la crédulité des internautes. Deux catégories se distinguent.
Tout d’abord, nous sommes confrontés à des attaques facilitées par les technologies. On retrouve ici des infractions classiques pour lesquelles internet offre un terrain de jeux nouveau. En particulier, internet abroge les distances. Il devient dès lors plus compliqué de retrouver les auteurs.
On pense bien évidemment aux escroqueries en ligne ou encore aux rumeurs malveillantes si facilement virales sur le Web. Le cyberharcèlement est un autre exemple qui inquiète toujours plus. Déjà en 2009, un tiers des internautes belges âgés de 12 à 18 ans y étaient confrontés [2].
Mais il existe également des cyberattaques qui relèvent de la seule dimension technologique. Certaines cherchent à porter atteinte à l’intégrité et/ou à la confidentialité des données stockées ou transférées. D’autres visent à prendre à distance le contrôle de ressources informatiques.
La différence entre les deux catégories est essentielle. Alors que les solutions à la première relèvent pour l’essentiel du judiciaire et du policier (moyens informatiques, experts, coordination internationale, etc.), la seconde implique de facto un volet technologique.
Or, si les citoyens, les organisations et les responsables politiques perçoivent assez bien les enjeux liés aux crimes classiques commis par la médiation d’internet, l’aspect hautement technique des cyberattaques rend la perception de leurs dégâts potentiels nettement plus diffuse.
Le résultat est une sous-estimation béante de la menace réelle des cyberattaques, y compris parmi les plus hauts responsables. Mais avant d’aborder des pistes de politiques à mener, il me faut d’abord aborder la nature de ces cyberattaques et les tendances qui les rendent toujours plus menaçantes.
Les accès illicites aux données
Le protection des données privée est sans doute le problème envers lequel nous sommes les plus conscientisés. De nombreux appareils informatisés conservent en effet une foule de données privées nous concernant (relations, emploi du temps, données médicales, etc.).
Nos données se retrouvent d’abord sur nos appareils domestiques (ordinateurs, smartphones, domotique, etc.). Ces derniers sont généralement vulnérables. En effet, leurs usagers et leurs concepteurs ne suivent que trop rarement les consignes de sécurité les plus élémentaires [A] [A] De nombreux particuliers ne disposent, par exemple, d’aucun logiciel antivirus..
Mais les données sensibles de millions de citoyens sont également entreposées sur les serveurs informatiques des grandes organisations (entreprises numériques et traditionnelles, hôpitaux, banques, etc.). Bien que ces serveurs soient souvent mieux sécurisés, une faille conduit directement à des accès malveillants massifs.
Parmi les méfaits liés à des accès malveillants aux données, citons le vol de données ou la modification délibérée des données stockées. Certains cybercriminels dérobent des numéros de cartes de crédit pour effectuer ensuite des transactions frauduleuses. D’autres cryptent des données d’entreprises et exigent ensuite une rançon pour les rendre à nouveau accessibles [3].
Le vol de données se commet parfois via des logiciels malveillants. Il en existe ainsi qui enregistrent toutes les touches frappées sur un ordinateur infecté, et les envoient ensuite via internet. Certains s’achètent depuis longtemps en ligne pour quelques centaines de dollars [4].
L’interception, la modification et la fabrication de données transférées
Les accès illicites ne sont toutefois pas les seules menaces. Le principe même de la mise en réseau d’appareils implique le transfert de données entre émetteurs et récepteurs. C’est le cas lorsque l’utilisateur envoie un courriel ou lorsqu’un appareil particulier (ordinateur, smartphone, télévision, etc.) effectue une mise à jour.
Dès lors que des données transitent par internet (connexions filaires, Wi-Fi, 4G, etc.), elles sont susceptibles d’être interceptées. La NSA écoute ainsi des câbles sous-marins de télécommunication afin d’enregistrer les données transmises [5]. De même, on s’est aperçu que des voitures appartenant à Google collectaient des données transitant par des réseaux Wi-Fi non sécurisés [6].
Une fois interceptées, les données peuvent aussi être modifiées puis réémises sur le réseau pour induire le récepteur en erreur. Les films et séries mettent régulièrement en scène la modification d’images de caméras de surveillance pour ne pas éveiller l’attention. La réalité dépasse la fiction en 2007 lorsque Israël neutralise à distance le système de radars syriens le temps d’un raid [7].
Mais pour tromper un récepteur, il est également possible de fabriquer de fausses données. Les pourriels en sont la meilleure illustration. Une étude menée en 2010 estime que plus de 90% des courriels envoyés sont des pourriels [8]. Et ces pourriels infestent aujourd’hui d’autres applications en ligne (blogs, réseaux en ligne, etc.).
Les attaques par déni de service sont les cyberattaques les plus simples à mettre en œuvre et les plus populaires [7]. Il s’agit d’envoyer des millions de requêtes inutiles à un service en ligne (typiquement un site Web) empêchant ainsi les requêtes légitimes d’être traitées [B] [B] Il s’agit d’une sorte de version numérique du sit-in qui consiste à occuper en masse un espace donné pour le rendre inaccessible à ses usages habituels..
Le cas de l’e-commerce est plus inquiétant encore. Celui-ci repose sur une infrastructure de sécurité basée sur des tiers de confiance (CA) censés assurer la relation univoque entre un certificat électronique [C] [C] Lorsque vous surfez sur une site sécurisé (par exemple celui d’un site de vente en ligne), votre navigateur vous indique que la communication est cryptée grâce au «https» apparaissant au début de l’adresse dans la barre de navigation. Il vous permet aussi de consulter le certificat électronique associé au site (généralement en cliquant sur un petit cadenas dans la barre de navigation). Ce certificat électronique doit permettre d’identifier la personne (morale ou physique) pour le compte de laquelle ce site est géré. et la société d’e-commerce. Or des attaques récurrentes contre ces CA permettent l’émission régulière de certificats frauduleux [9]. C’est donc tout l’e-commerce qui s’en trouve menacé !
La prise de contrôle de ressources informatiques
Si les données numériques constituent indiscutablement une cible de choix pour celles et ceux qui mènent des cyberattaques, elles ne sont pas toujours la motivation première. Le but est parfois de contrôler une ressource dans le but de lui faire exécuter certaines tâches.
Alors que la «voiture intelligente» est présentée comme la solution d’avenir en matière de mobilité, une expérience de 2015 devrait faire réfléchir. Des hackers ont en effet pris à distance le contrôle d’une voiture laissant le conducteur sans moyens d’intervenir [10]. Les cas similaires foisonnent depuis.
La série télévisée Homeland scénarise l’assassinat du vice-président des États-Unis via un accès à distance à son pacemaker pour qu’il cesse de stimuler son cœur. Loin de se limiter à la fiction, les vulnérabilités des appareils médicaux connectés implantés se multiplient chaque jour [11].
Le virus Stuxnet montre que les cyberattaques complètent désormais l’arsenal à disposition pour mener des guerres [12]. Stuxnet a été conçu pour entraver le projet nucléaire iranien en prenant le contrôle d’ordinateurs bien particuliers : ceux qui commandent les centrifugeuses des centrales nucléaires iraniennes. Rendues folles par le virus, ces dernières se sont autodétruites.
Un ancien conseiller des présidents américains en matière de cybersécurité va plus loin [7]. Une cyberattaque d’envergure pourrait «facilement» endommager tous les réseaux informatiques. Non seulement internet, mais également ceux qui contrôlent les usines chimiques, les raffineries, le trafic aérien, la signalisation, l’activité financière ou encore le réseau électrique !
Des risques démultipliés par l’incompétence…
Les risques purement technologiques suffiraient déjà à alimenter les craintes les plus cauchemardesques. Mais la légèreté avec laquelle les différents acteurs s’emparent du sujet de la cybersécurité amplifie les dégâts potentiels.
Bien entendu le risque zéro n’existe pas. Les problèmes de sécurité récents de Apple ou de Yahoo! nous rappellent que même les géants du numérique, qui engagent des équipes talentueuses et considèrent la sécurité comme primordiale, ne sont pas à l’abri de cyberattaques victorieuses.
Cependant, je m’inquiète plus pour les entreprises produisant tous ces appareils connectés ou concevant ces nouvelles applications en ligne qui envahissent nos vies. Elles ne disposent en effet que très rarement de réels experts en sécurité informatique, un profil excessivement rare aujourd’hui.
Ce sont d’abord les entreprises «traditionnelles» qui se lancent dans les objets connectés. L’exemple de la voiture piratée cité plus haut l’illustre parfaitement. Ainsi, de plus en plus d’attaques par déni de service sont menées via des appareils ménagers comme des frigos connectés.
Mais je suis également préoccupé par les nombreuses startups numériques qui se créent chaque jour. Non seulement on y retrouve rarement des experts en cybersécurité, mais elles ne disposent généralement pas non plus des fonds nécessaires pour faire de cette dernière une priorité.
En fait, même pour les géants du numérique, il n’est pas certain que la sécurité soit forcément la priorité absolue. Leurs revenus, et donc leur développement potentiel, semblent plus liés aujourd’hui à l'exploitation des données disponibles plutôt qu’à la sécurisation de celles collectées.
… y compris des États
Une interview hallucinante du vice-amiral français Arnaud Coustilliere, officier général à la cyberdéfense, dans l’émission Cash investigation du 18 octobre 2016 montre que les États ne semblent pas non plus mesurer l’ampleur et la diversité des cybermenaces.
L’émission revenait sur le contrat passé par la France avec l’entreprise américaine Microsoft pour équiper les ordinateurs de la Défense. Il faut dire que de nombreuses failles sont régulièrement mises à jour dans les produits de Microsoft, et plus particulièrement dans Microsoft Windows.
Mais Microsoft fait partie des géants américains du numérique, et nous savons depuis les révélations de Edward Snowden qu’ils collaborent avec les autorités américaines lorsque ces dernières protègent leurs intérêts. Sachant que le téléphone d’Angela Merkel a été piraté par les Américains, on comprend que ces derniers ont une conception assez extensive de leurs intérêts…
Interrogé sur le choix de Microsoft, alors que d’autres solutions plus fiables et moins coûteuses existent comme GNU/Linux, notre vice-amiral répond qu’il n’est pas inquiet. S’il reconnaît des risques sécuritaires, il estime que Microsoft n’est pas «l’ennemi prioritaire» !
En cette période d’isolationnisme prônée par le président américain élu, cette opinion relève d’une véritable naïveté coupable. D’autant plus que, depuis la chute de l’URSS, l’espionnage industriel est une priorité pour les services de renseignement d’outre-atlantique [13].
Ébauche d’un plan de cybersécurité global
Devant tous ces dangers, il me semble urgent de concevoir une réelle politique de cybersécurité européenne. Celle-ci pourrait s’articuler autour de quatre axes : protection des données, formation, recherche et adoption massive des «logiciels à code source ouvert» [D] [D] Par cette dernière dénomination, je regroupe les logiciels libres et les logiciels open source qui se distinguent par quelques spécificités. Dans les deux cas, le code source – l’ensemble des instructions humainement compréhensibles composant un programme – est à disposition de tous. Il s’agit non seulement de permettre la vérification et la correction par un très grand nombre de contributeurs, mais également de faciliter l’adaptation d’un logiciel à des besoins particuliers..
Je distinguerai tout d’abord différentes catégories de données : les «données vertes» publiques (comme mon blog), les «données jaunes» à protéger mais moyennement sensibles (par exemple des consommations passées), les «données oranges» regroupant toutes les informations sensibles (telles nos données médicales) et les données «rouges» ultra-sensibles (notamment les secrets d’État).
Il faut absolument porter une plus grande attention à la sécurité des données oranges et rouges. Il faudrait notamment exiger des organisations qui les gèrent qu’elles disposent d’infrastructures spécifiques en Europe. Concernant les données rouges, les services de sécurité devraient être associés à leur protection. Il faut en particulier mieux protéger nos industries stratégiques.
Je milite depuis longtemps pour la mise en place d’agences de régulation pour superviser certains aspects d’internet [14]. Elles pourraient notamment vérifier que les différents acteurs mettent bien en œuvre des dispositifs de sécurité en adéquation avec le degré de confidentialité des données. Cela m’apparaît plus responsable que de tabler sur leur autorégulation.
Les universités ont évidemment un rôle essentiel à jouer. Pour lutter contre le cruel manque d’experts en cybersécurité, il faut en effet proposer de réelles formations spécialisées. Pour les organiser, les universités devraient entre autres s’entourer de hackers pour ne pas limiter les enseignements à de vagues concepts théoriques et à quelques exercices basiques.
Un effort s’avère également nécessaire en matière de recherche. Celle-ci ne peut se limiter à des articles scientifiques, mais doit impérativement comporter un volet «pratique». Je pense en premier au cryptage (quantique). Nous devons aller au-delà de la modélisation et maîtriser la réalisation concrète de dispositifs [E] [E] Signalons que les Chinois nous devancent en matière de cryptage quantique comme le démontre le lancement, il y a quelques semaines, d’un satellite destiné à mener des expériences pratiques..
Mais le développement de logiciels «sûrs» devrait aussi être une priorité, notamment les systèmes d'exploitation qui se trouvent au cœur de tous les ordinateurs et objets connectés. De nombreuses cyberattaques exploitent en effet des failles existantes dans les logiciels, parfois volontairement laissées par leurs éditeurs.
Mais redévelopper au seul niveau européen des alternatives aux logiciels américains commerciaux n’aurait aucun sens, ni économiquement ni techniquement. Il faut plutôt s’appuyer sur les logiciels à code source ouvert. D’abord en privilégiant leur déploiement, notamment dans les services publics, ensuite, en participant à leur développement et à leur financement.
Reprenons notre destin numérique en main
Internet est sans conteste une infrastructure fantastique nous offrant nombre de contenus et de services de qualité. Pour autant, à mesure que les réseaux informatiques pénètrent toujours plus nos vies, le degré de menace s’accroît pour atteindre désormais un niveau critique.
Certains chercheurs en appellent aujourd’hui à un traité international destiné notamment à interdire les cyberattaques contre des infrastructures civiles (telles le réseau électrique) [15]. Il serait pourtant dangereux d’attendre qu’un tel traité voit le jour, et surtout de penser qu’il lèverait à lui seul toutes les cybermenaces.
Des organisations, publiques et privées, collectent toujours plus de données privées. Certaines pour des raisons légitimes (pensons aux acteurs du secteur médical), d’autres pour en tirer des revenus. Les nombreuses attaques dont elles sont victimes démontrent souvent un manque de prévoyance.
Un travail d’information m’apparaît ici comme essentiel. De nombreuses cyberattaques profitent en effet des lacunes des utilisateurs lambda : absence de logiciels antivirus, oubli de mises à jour, téléchargement de fichiers infectés, mots de passe faciles à découvrir, mauvaises configurations, etc.
De internautes mieux conscientisés seraient aussi plus exigeants vis-à-vis des fournisseurs de services en ligne et d’objets connectés. En nous montrant intraitables en matière de cybersécurité, ces derniers seraient obligés, sous notre pression, à la prendre en considération dès la conception de nouveaux produits.
Comme le rappelait un expert il y a quelques années, les USA sont particulièrement vulnérables parce que les technologies y sont fortement déployées [7]. La situation est actuellement identique en Europe. Et notre dépendance informatique vis-à-vis d’entreprises américaines [F] [F] Rappelons que Google Search est le moteur utilisé par plus de 90% des internautes européens qui sont, de plus, majoritairement équipés d’ordinateurs tournant sous Microsoft Windows. est plus que préoccupante.
Il est temps de nous retrousser les manches, et de prendre le problème de la cybersécurité à bras le corps. Les pouvoirs publics doivent impérativement financer des programmes de recherches et d’enseignements sur cette thématique. Et nos scientifiques experts en la matière devraient aussi s’investir dans des recherches plus concrètes. Mais ceci est une autre histoire…
Références
[1] Martin Untersinger, «Une attaque informatique majeure a paralysé une partie du Web pendant plusieurs heures», Le Monde, 2016.
[2] Michel Walrave, Marie Demoulin, Wannes Herman & Aurélie Van der Perre, Cyberharcèlement : Risque du virtuel, impact dans le réel, Observatoire des Droits de l’Internet, 2009.
[3] Nicolas Arpagian, La cyberguerre : La guerre numérique a commencé, Vuibert, 2009.
[4] Kevin Stevens & Don Jackson, « ZeuS Banking Trojan Report », Dell SecureWorks, 2010.
[5] Laura Mallonee, «Photos of the Submarine Internet Cables the NSA Probably Tapped», Wired, 2016.
[6] Sam Biddle, «Privacy Scandal Haunts Pokemon Go’s CEO», The Intercept, 2016.
[7] Richard A. Clarke & Robert Knake, Cyber War: The Next Threat to National Security and What to Do About It, HarperCollins, 2010.
[8] Symantec, MessageLabs Intelligence Report, Symantec, 2010.
[9] Rolf Oppliger, « Certification Authorities Under Attack: A Plea for Certificate Legitimation », IEEE Internet Computing, 18(1), pp. 40–47, 2014.
[10] Andy Greenberg, «Hackers Remotely Kill a Jeep on the Highway—With Me in It», Wired, 2015.
[11] Neal Leavitt, «Researchers fight to keep implanted medical devices safe from hackers», Computer, 43(8), pp. 11–14, 2010.
[12] Samuel Greengard, « The New Face of War », Communications of the ACM, 53(12), pp. 20–22, 2010.
[13] Edwin Fraumann, «Economic Espionage: Security Missions Redefined», Public Administration Review, 57(4), pp. 303–308, 1997.
[14] Pascal Francq, Neutrality in internet regulation: three regulatory principles, essai technique, Paul Otlet Institute, 2015.
[15] Karl Rauscher, « Writing the rules of cyberwar », IEEE Spectrum, 50(12), pp. 26–28, 2013.