La cybersécurité, protection de nos frontières numériques… et de nos valeurs

cybersécurité

La chronique économique hebdomadaire de Bernard CHAUSSEGROS

Sous la Renaissance, les banquiers lombards, comme les Médicis, avaient recours à des systèmes de compensation entre leurs différents établissements (Naples, Pise, Milan, Genève, Lyon, Avignon, Bruges et Londres) pour éviter à leurs clients d’être détroussés par les bandits de grands chemins sur les routes des grandes foires.

Aujourd’hui, les bandits de grands chemins se tapissent sur les parcours sinueux du web, et pas uniquement de sa partie la plus sombre. Les échanges de fonds, mais aussi et surtout de données ont besoin d’être protégées et surtout authentifiées. L’essor des nouvelles technologies ont poussé bien des utilisateurs dans un usage particulièrement naïf des outils numériques, au prétexte sans doute que les échanges concernent en général des relations à l’urbanité banale.

Marc Olivier, Président de HIAsecure précise : « Le cerveau reste inobservable. C’est à partir de ce constat que nous avons développé et breveté une solution d’authentification française basée sur l’intelligence humaine qui assure au citoyen la maîtrise de ses accès numériques ».

En effet, peu à peu, ce sont des informations de plus en plus personnelles et de plus en plus confidentielles qui circulent sur la toile. Pour peu qu’on ne l’ait pas encore compris, il suffit pour s’en persuader, de constater l’évolution des banques dans le domaine de la sécurisation de leurs échanges avec leurs clients. Du simple mot de passe, elles sont passées depuis longtemps déjà aux authentifications à deux niveaux, avec validation ordinateur/smartphone, mais elles requièrent désormais l’usage de « pass » de sécurité renforcée. Certaines en sont même à utiliser les technologies de la biométrie et les caractéristiques propres à chaque individu (empreintes digitales, reconnaissance faciale ou vocale, scan rétinien).

On entre là dans le domaine de la cybersécurité, laquelle réunit les technologies permettant de protéger les systèmes, les réseaux et les programmes contre les attaques numériques, et d’éviter que des personnes mal intentionnées accèdent à des informations sensibles, puissent les modifier ou les détruire, ou qu’elles en profitent pour extorquer de l’argent aux utilisateurs ou parviennent à bouleverser le fonctionnement normal des entreprises.

Les enjeux de la cybersécurité sont multiples, ils ont également plusieurs dimensions, technique, conceptuelle, humaine et législative. Les utilisateurs se focalisent souvent sur les outils informatiques comme l’antivirus, le pare-feu, la cryptographie, etc. Pourtant, il est également important de conceptualiser des méthodes de gestion de risques adaptées.

Issu d’une proposition de loi d’un sénateur, le concept « Cyberscore » a pour objectif de mieux informer les consommateurs sur la sécurité de leurs données. La proposition de loi a été adoptée le jeudi 22 octobre 2021 par le Sénat. La prochaine étape sera le vote attendu à l’Assemblée nationale. Les indicateurs, les organismes et la durée de validité du « Cyberscore » seront définis ultérieurement par décret.

De leur côté, les États membres de l’Union Européenne ont adopté, le 25 novembre 2021, les orientations générales du Digital Services Act (DSA) et du Digital Markets Act (DMA) qui doivent réguler le fonctionnement des grandes entreprises technologiques du numérique. La France, qui prend la présidence du Conseil de l’UE en janvier 2022, conduira les négociations avec le Parlement européen avec l’espoir d’aboutir à une version commune.

Dans le cadre récent du développement des « Blockchain », la cybersécurité devient une question centrale. Une blockchain est une base de données de grande dimension qui a la particularité d’être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire des données, selon des règles spécifiques fixées par un protocole informatique considéré comme étant bien sécurisé grâce à la cryptographie.

Développée à partir de 2008, la blockchain est d’abord une technologie de stockage et de transmission d’informations à laquelle sont reliés des outils perfectionnés de transparence et de sécurité, ce qui est plus que nécessaire puisqu’elle fonctionne sans organe central de contrôle. Comme on le sait, la blockchain permet à ses utilisateurs connectés en réseau de partager des données sans intermédiaire.

Les technologies de développement des blockchains sont a priori centrées sur les questions de sécurité. Raison de plus pour redoubler de vigilance, compte tenu de la quantité de données, notamment personnelles, qu’elles gèrent. Il faut en effet faire le distinguo entre la blockchain qui assure le caractère infalsifiable d’un historique de transactions, du stockage des actifs numériques qui utilisent ladite blockchain, à savoir typiquement un Bitcoin, un contrat, etc. Sans vigilance, on peut se faire voler ses actifs numériques, et la Blockchain qui les aura authentifiés, ne peut servir pas à les protéger, car ce n’est pas son rôle. L’analogie possible est celle d’un billet de banque, certes infalsifiable, mais qui ne permet pas de protéger ou de tracer notre argent si on se fait voler son portefeuille.

Les cyberattaques les plus courantes

La question de la cybersécurité débouche généralement sur des études multiformes qui désorientent les utilisateurs. Comment répondre à cette multiplicité de situations et donc de risques ? La définition de la cybersécurité ne permet effectivement pas de mesurer concrètement la gravité des risques numériques. On peut cependant repérer trois grandes catégories de menaces :

  • Les cyberattaques, menées généralement par intérêts politiques ;
  • La cybercriminalité, impliquant des pirates motivés par l’argent ;
  • Le cyberterrorisme, visant à inciter la peur ou le chaos.

Dans le domaine de la sécurité des nouvelles technologies, le rôle néfaste des hackeurs ne peut se traduire par la qualification d’une seule de ces menaces. Les techniques les plus utilisées par les cybercriminels peuvent être décrites par les utilisations qui en sont faites :

  • Les logiciels malveillants ou malwares (virus furtif, macrovirus, ver, cheval de Troie, ransomware, spyware, adware, botnets, bombe logique, etc.) ;
  • Les injections de commandes SQL (structured query language) qui sont un groupe de méthodes d’exploitation de failles de sécurité d’une application interconnectée à une base de données ;
  • Le phishing ou en français, l’hameçonnage ;
  • Le téléchargement furtif ;
  • Le « cross-site scripting » ou XXS ;
  • L’attaque de l’homme du milieu (MitM pour man in the middle) qui consiste à intercepter les données échangées entre deux appareils connectés, le pirate peut ensuite envoyer ou recevoir des messages en usurpant l’identité de l’un des interlocuteurs, voler des données essentielles et polluer des sites sensibles ;
  • Les attaques par déni de service (DoS pour denial of service) ou déni de service distribué (DDoS pour distributed denial of service).

En dehors des virus, le ransomware est une des menaces les plus connues du grand public. De nombreuses entreprises ont en effet été contraintes de payer des sommes conséquentes après ce type de piratage. L’État français a récemment annoncé qu’il s’agissait de l’une des priorités des pouvoirs publics et des acteurs de la cybersécurité.

Mais que penser des accusations visant la Russie d’être intervenue dans le débat français des élections présidentielle de 2017 ? Mais que penser de cette nouvelle guerre des étoiles récemment évoquée après que les États-Unis et la Grande Bretagne aient récemment accusé la Russie d’avoir attaqué des millions de matériels connectés. Entre sécurisation et dissuasion, les pays s’organisent au mieux pour contrer des offensives informatiques capables de paralyser un pays tout entier. Il faut craindre que le niveau de cybersécurité de la France comme de l’Europe soit insuffisant, faute de n’avoir pas réalisé les investissements nécessaires durant ces dix dernières années au cours desquelles les technologies de l’information et de la communication se sont développées de façon hyperbolique.

La situation est peut-être en train de changer puisque des investissements lourds vont être réalisés, notamment dans les entreprises du CAC 40 qui entendent rattraper leur retard. Il est vrai qu’une loi (n° 2018-493 du 20 juin 2018) relative à la protection des données, oblige l’ensemble des entreprises, et surtout celles exerçant leur activité dans des secteurs d’importance vitale, à se protéger. Parallèlement, à l’échelle européenne, la directive NIS (Directive Network and Information System Security) vient d’être déclinée en droit français, et obligera les états membres à mettre en place une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques majeures.

Cette réponse pourrait, le cas échéant, être étendue au cyberespace. La plupart des pays occidentaux ont désormais une stratégie très claire. Les cas de cyberattaque d’importance entraînant des dégâts physiques seraient considérés comme de actes de guerre qui pourraient déboucher sur des réponses militaires, par exemple dans le cas d’attaques dans le cyberespace, ou les infrastructures vitales (eau, énergie, etc.).

Cette situation est considérée avec la même acuité dans tous les pays développés, lesquels ont la capacité de mobiliser des forces militaires dans le cyberespace. C’est ainsi que la France évoque l’existence de 3 000 « cyber soldats ». Les États-Unis sont bien évidemment les leaders dans ce domaine, mais la Russie et la Chine n’ont sans doute rien à leur envier. La Corée du Nord dispose quant à elle de pirates informatiques, très nombreux et très qualifiés, dont la fonction première est avant tout pour l’instant, de voler de l’argent, notamment des cryptomonnaies, afin d’alimenter le régime.

Fatalement, après la destruction par la Russie de l’un de ses propres satellites, la question se repose avec insistance. Si l’on peut détruire un objet en orbite par un tir de missile, on doit pouvoir aussi contrôler les communications, notamment informatiques entre les stations spatiales, les satellites, civils ou militaires et la Terre. Doit-on s’en inquiéter ? A tout le moins, il convient d’anticiper tout risque stratégique et être prêts.

Les capacités en cybersécurité sont beaucoup plus efficaces si elles restent discrètes, que ce soit pour contrôler des opérations d’espionnage économique ou militaire, ou pour mener des opérations de déstabilisation. Le scénario de destruction des systèmes informatiques d’un pays est techniquement possible, mais il est assez improbable, en l’état actuel des relations internationales entre pays occidentaux.

On parle parfois de cyber guerre froide. C’est aussi une façon de se faire peur, devant la démesure et la puissance des technologies IT. Si la révolution numérique a particulièrement bouleversé les économies, elle les a considérablement rendues tributaires les unes des autres. La mondialisation des relations économiques fait que les échanges échappent de plus en plus aux États, (fiscalité, contrôle, etc.) et que la crise de l’un entrainerait une crise en « dominos ».

Les techniques pour se prémunir contre les attaques

La plupart des utilisateurs ne sont pas informés des pratiques élémentaires de sécurité. D’ailleurs, selon le vieil adage, le problème de sécurité informatique se situe d’abord entre la chaise et le clavier…. Et pourtant, le nombre de comptes que nous possédons tous, les uns et les autres, ne cessent d’augmenter, et nous demeurons vulnérables sans même nous rendre compte que nos informations sont de plus en plus sensibles.

Depuis la fin des années 2000, les attaques informatiques se multiplient. Des individus en sont victimes, des entreprises aussi, mais aussi des hôpitaux, des administrations… Les hackers ont régulièrement pris possession de bases de données comportant identifiants et mots de passe, qui ont été rendus publics.

En 2016, on a assisté à la multiplication des attaques, parfois spectaculaires, qui ont notamment entraîné la compromission de bases de données entières de comptes et des mots de passe associés.

Certes, de nombreuses entreprises renforcent régulièrement la sécurité de leurs systèmes, mais il suffit qu’une seule d’entre elles soit défaillante pour faire courir un risque de sécurité à l’ensemble de l’écosystème numérique. Dans ce contexte que l’on peut qualifier de « guerre », il faut que les niveaux de sécurité soient adaptés aux risques. En France, c’est le rôle de la CNIL, mais aussi de l’ANSSI, que de travailler sur ce sujet et qui a publié des recommandations en la matière, afin, notamment, de permettre aux entreprises et particuliers de mettre en place dans leurs systèmes les obligations de sécurité posée par la loi.

L’authentification est donc devenue un enjeu stratégique pour la protection des données personnelles et de celles des entreprises, d’autant qu’avec le développement exponentiel du télétravail, elles se trouvent fortement exposées au piratage. C’est, en effet, durant la phase d’authentification que les hackers interviennent le plus généralement par le phishing ou spear phishing, exploitation d’une faille, tentative de connexion, arnaque au président, etc.

Les techniques d’authentification sont de plus en plus élaborées et font preuve d’une constante sophistication.

Le mot de passe simple, qui est destiné à disparaitre ; il peut en effet compromettre la sécurité des comptes sensibles, notamment l’adresse de messagerie principale, et une gestion non organisée de l’ensemble des mots de passe d’un particulier lui fait courir des risques sur ses données personnelles.

Le SMS OTP, c’est-à-dire le mot de passe à usage unique, longtemps utilisé par les banques, vient d’être écarté par les autorités européennes pour les transactions financières. Une autre technique, le Physical 2FA Tokens, qui nécessite le recours à un appareil générateur de mots de passe unique, est une solution très contraignante pour l’utilisateur ;

Le recours aux données biométriques qui se sont récemment développées mais qui ne sont pas exemptes de contournement. Mais ce dont on parle le plus actuellement, c’est l’authentification cognitive, laquelle devrait reposer sur la technologie française de la carte d’identité numérique.

La solution réside dans le chiffrement et le recours aux techniques de la cryptologie. Cette dernière ne se limite pas à assurer la confidentialité des secrets, elle assure mathématiquement l’authenticité d’un message et de son intégrité. Les techniques utilisées par la cryptologie sont le hachage avec ou sans clé, la signature numérique et le chiffrement.

Sans entrer dans des développements très scientifiques, il faut savoir qu’il existe d’ailleurs plusieurs techniques dans ce domaine, le chiffrement symétrique, le chiffrement asymétrique ainsi qu’une technique combinant les deux précédentes, le chiffrement hybride utilisé notamment pour l’accès aux sites de type « https ».

De son côté, la CNIL a diffusé une liste de bonnes pratiques qui ont trait, entre autres, à la qualité des sauvegardes des données, à l’organisation en segments du système d’information, à la mise à jour des applications, sans oublier la sensibilisation des utilisateurs. Le profil de ces derniers doit également être correctement configuré, identifiants et mots de passe tenus secrets, avec une politique de gestion des accès et des droits d’utilisation (lecture/écriture/effacement).

Les sociétés dans lesquelles nous évoluons aujourd’hui sont de plus en plus numérisées. On peut pratiquement affirmer que l’ensemble de nos activités dépendent des technologies de l’information, et notamment d’Internet, puis désormais du Cloud où tout est centralisé, ce qui permet au passage aux hackers de cibler leurs efforts. Elles sont donc clairement vulnérables et peuvent dysfonctionner à tout moment si des règles ne sont pas édictées ou si elles ne sont ni respectées ni contrôlées.

Il ne faut pas être naïf regarder le monde numérique avec ébahissement devant les progrès immenses que le Digital a connu en moins de 30 ans. Les États, les entreprises, le crime organisé et le terrorisme, mais également les particuliers, peuvent utiliser cette arme numérique à des fins stratégiques, que ce soit pour détourner des fonds, capter des technologies nouvelles, déstabiliser des organisations privées ou étatiques, détruire des réputations ou dénoncer des complots imaginaires.

Entre confiance absolue dans l’humanité générale et contraintes excessives rappelant Big Brother, la marge est étroite. Nos vies personnelles et professionnelles sont d’ores et déjà sous la menace de nouveaux « bandits de grands chemins » qui tuent différemment mais tuent parfaitement. Si chacun a droit à sa liberté technologique, chacun a également le devoir de se protéger et de protéger ceux qui dépendent de lui. Il faut donc s’informer. Ce devrait d’ailleurs être en premier lieu le rôle de l’école que d’enseigner, dès le plus jeune âge, les règles de bonne conduite numérique, notamment celles concernant la sécurisation de ses données.

La société numérique est aussi, et c’est un goût largement partagé, une société de « jeux ». Le fait de jouer sa vie sur console, ou sur écrans interposés incite souvent les milléniaux à voir la vie comme un grand jeu.

Et c’est tout sauf un jeu !

Focus en Bretagne

La prochaine guerre sera cyber ! C’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a pris l’initiative de réunir régulièrement des entreprises du secteur agricole et agroalimentaire bretonnes. La question est prise au sérieux par l’ensemble des spécialistes de la question, car les incidents liés à la cybersécurité augmentent de 40 % par an. Selon la coordinatrice de la filière cybersécurité de ces rencontres, « Il y a ceux qui savent qu’ils ont été attaqués et ceux qui ne le savent pas ! Se faire attaquer, c’est un peu se faire faire les poches, informatiquement bien sûr ! La Bretagne est d’ailleurs une région pilote en matière de sécurité puisque 130 entreprises travaillent sur le sujet, représentant déjà 8 000 emplois directs. Ce secteur affiche une croissance de 12 % par an ».

Mais qui attaquerait aujourd’hui une entreprise bretonne de l’agroalimentaire, un abattoir, une usine d’aliment du bétail ?

Les motivations des activistes sont très diverses, le profit, en tout premier lieu, mais aussi les idéologies, les activistes « Végan » par exemple, ou certains défenseurs radicalisés de la cause animale, et enfin ceux qui aiment le « jeu », par exemple pour tester les systèmes de sécurité et chercher à les contourner.

L’exemple breton est frappant dans un secteur qui ne dispose pas ou peu de secrets de fabrication. Les cyberattaques ont des motivations hétéroclites et elles peuvent provenir de n’importe quel endroit sur la planète, voire de n’importe quel ordinateur.

Il convient donc de se préparer et de se protéger !

Bernard Chaussegros

LAISSER UN COMMENTAIRE

Tapez votre commentaire
Entrez votre nom ici

onze − 8 =