septembre 17, 2012
Pire que l’odeur du Fromage : Et Maintenant, les Effrayants Scénarios qui Provoquent des Cauchemars – les Cinq Questions Principales sur la Sécurité IT.
Je me suis récemment demandé à combien d’interviews de presse je répondais chaque mois. Bien sûr, le total est assez inégal selon les mois, mais dans les périodes les plus intenses leur nombre peut aller jusqu’à 70 ! Et je parle seulement des interviews, c’est-à-dire, celles que je donne en personne ou par téléphone. Si je devais aussi inclure des entretiens via courrier électronique – le nombre serait juste incroyable.
Mais je ne me plains pas. Au contraire – j’aime les interviews ! Cela me rappelle Richard Branson et sa règle pour les interviews : « Si CNN me téléphonait pour me dire qu’elle veut me faire une interview, je laisserais tout tomber pour la faire. » Je suis aussi cette règle – à la lettre – non sans bonne raison.
La plupart des interviews sont ce à quoi vous vous attendiez. On me pose des tas de questions, je réponds du mieux que je peux, et voilà tout.
Mais je suis très rarement interviewé par un bon journaliste, méticuleux au point de chipoter, qui connaît non seulement tout de moi et de KL, et ce que nous faisons, mais aussi tout du sujet précis dont traite l’interview. Vers la fin de l’heure je suis épuisé, l’esprit lessivé, et j’ai l’impression que mon âme et mes réponses prolixes aux questions sophistiquées sortent en même temps de ma tête.
Ce sont les interviews les plus usantes, mais aussi les plus utiles. Pourquoi ? Parce que pendant des sessions si intenses la matière grise et le mécanisme situé à l’intérieur du crâne fonctionne vraiment bien, et pense à de nouvelles façons d’approcher des sujets familiers ou à de nouveaux points de vue – à tel point qu’après la fin de l’entretien cet élan d’idées mène à toutes sortes de nouveaux aperçus. Il est vraiment fascinant de voir comment la connaissance créative naît. Et tout ça grâce à des journalistes ultra préparés qui font leur travail de manière magistrale. Respects. Et merci !
Curieusement, ce qui unit ces entretiens « spéciaux » aux normaux, c’est une inévitable et urgente question sur la sécurité informatique aujourd’hui – quelque chose comme : « Qu’est-ce qui vous garde éveiller la nuit (en termes de dangers sur la sécurité informatique) ? » ! Et cette question ne m’est pas juste posée par des journalistes lors d’interviews. La question surgit à pratiquement chaque conférence IT dans laquelle j’interviens.
Et donc : comme je l’ai promis plus tôt, je présente ma Liste des Cinq Questions Principales sur la Sécurité IT, dans le sens large du terme.
Je devrais dire avant tout que je n’ai pas de recette pour résoudre ces cinq problèmes. Le but de cet article est plutôt d’identifier les problèmes, vous faire commencer à y réfléchir avec l’espoir de vous entraîner dans la discussion en cours et de faire grandir votre intérêt, empathie et/ou sympathie !
Bien, voici ma liste :
1. Vie privée
2. Passeports Internet
3. Réseaux Sociaux
4. Cybercrime
5. Cyber guerre
1. La vie privée (le manque de vie privée)
Je veux dire par là, notre propre vie privée et tout ce qui continue sur Internet.
Les menaces actuelles sur l’inviolabilité de notre propre vie privée ne ressemblent en rien à ce qu’elles étaient, elles ont rendu pratiquement impossible la possibilité d’avoir un minimum de vie privée. Cependant, en même temps, et heureusement, de plus en plus de personnes commencent à saisir qu’un important volume d’informations les concernant est sauvegardé sur Internet, qu’il s’agisse des articles qu’ils lisent, ou même des séries télévisés de « fiction » qu’ils regardent (comme, 24 ou MI-5, dans lesquelles une montagnes de données personnelles sont immédiatement obtenues avec quelques clics de souris (« copier cela »)).
La dissémination de données personnelles commence par le transfert volontaire de détails personnels aux différents services Internet et continue via le traçage de chaque vol que vous prenez et chaque achat que vous faites avec votre carte bancaire, directement à travers vos connexions ou votre mouvement physique dans les grandes villes, les conversations téléphoniques que vous passez, les courriers électroniques que vous envoyez et recevez, et bien plus.
Un autre point de vue sur la question de la vie privée a surgi il n’y a pas si longtemps suite à la fuite de milliers de SMS du fournisseur téléphonique russe Megafon qui sont devenus visibles via le moteur de recherche Yandex. Imaginez donc ! Tous vos SMS personnels à la vue de tous ! De telles fuites fortuites de données privées auront à nouveau lieu à l’avenir.
Donc, vous comprenez la situation : le volume d’informations nous concernant qui s’accumule sur le www est vraiment exorbitant et il ne peut pas toujours être sécurisé. Mais en plus de l’énorme danger potentiel pour chacun d’entre nous, individuellement parlant, le danger est tout aussi grand pour la sécurité nationale des pays.
Il ne serait donc pas surprenant que les législateurs du monde entier deviennent de plus en plus fermes et impliqués dans la régulation de la collecte et du stockage des informations des utilisateurs. Ils n’ont pas besoin de réinventer la roue pour faire cela. Tout ce qu’ils ont à faire, c’est tout simplement transférer les mesures existantes pour nos vies hors ligne. Par exemple, les services Internet ne devraient pas avoir le droit d’exiger des renseignements privés si des informations semblables peuvent être trouvées hors ligne, où vous n’avez pas à transmettre ces informations.
Finalement, pour ceux qui pensent qu’aujourd’hui il existe encore un quelconque espoir d’avoir quelque chose qui ressemble vaguement à une vie privée inviolable, je recommande le visionnage de cette série de vidéos.
2. L’absence de Passeports Internet (comme la seule chose qui peut sauver la démocratie)
J’ai déjà traité ce sujet dans mon bulletin de décembre 2011 et lors d’une conférence de presse, qui sont récapitulés ici. Maintenant, un peu plus de détails…
J’ai tendance à ressasser que les jeunes générations diffèrent des plus vieilles. Mais c’est bien vrai ! Elles vivent et pensent différemment, et ne peuvent pas imaginer à quoi ce monde a ressemblé sans la technologie actuelle et considèrent comme acquis – les téléphones portables, Internet, le WiFi, Skype, les blogs personnels, les réseaux sociaux, les consoles de jeu, etc. Elles vivent pratiquement en ligne et continueront à y vivre pour toujours. Plus important encore, elles ne voteront jamais lors d’élections si elles doivent se lever et marcher pour le faire ! Elles voteront seulement si elles peuvent le faire en ligne. Et pour que le vote en ligne fonctionne, un système de Passeports Internet est nécessaire. Mais nous n’avons pas un tel système actuellement- comme vous en êtes parfaitement conscients. Pouvez-vous commencer à voir les implications pour les bases de le démocratie ? …
Le manque d’implication des jeunes générations concernant le vote (dû au fait qu’aucun système de Passeports Internet n’existe) est plus grand que ce que l’on pourrait imaginer à première vue. Le fossé des générations technologiquement exaspérées divisera de plus en plus les populations : dans leur bulle – les plus jeunes et plus actifs – ils finiront par se couper totalement de la politique, et ne sauront rien des décisions politiques qui se prennent apparemment en leur nom. Le pouvoir politique viendra seulement pour refléter les intérêts des plus vieilles générations, c’est-à-dire les prétendus Immigrants Numériques, pas les Natifs Numériques. Au même moment, l’activisme politique des jeunes générations continuera à augmenter car ils se sentiront de plus en plus isolés. Et pourrait provoquer des révolutions et des tentatives pour faire chuter des régimes.
Donc, je considère que développer et présenter des idées de sécurité digitale – Les Passeports Internet – est une des tâches les plus importantes auxquelles le monde industrialisé doit aujourd’hui faire face. Heureusement, techniquement, ils sont plutôt simple à créer. Politiquement – c’est une autre affaire …
Il serait logique de présenter des Passeports Internet biométriques seulement pour les services qui dans le monde hors ligne exigent l’identification physique de l’utilisateur : les services bancaires (pour les opérations qui exigent la production d’identité), l’enregistrement pour un vol, etc. Et comme je l’ai déjà mentionné, si dans le monde hors ligne il n’existe aucun besoin d’identification, cela ne devrait pas être nécessaire dans le monde en ligne pour des transactions semblables; donc, pour des achats en ligne ou la correspondance avec des amis vous ne devriez pas être obligés d’utiliser un passeport Internet. Alors, il y a la zone « intermédiaire » d’identification, qui maintiendrait l’anonymat : pour les services qui n’exigent pas votre nom complet, mais, par exemple, votre âge – pour les achats de produits comme l’alcool et le tabac, l’accès aux contenus adultes, etc. La bonne nouvelle, c’est que techniquement, l’identification « intermédiaire » anonyme est également facilement réalisable.
3. Les Réseaux Sociaux (comme un instrument pour manipuler l’opinion publique)
Dans n’importe quelle société, dans n’importe quel pays, il y aura toujours des points de vue opposés et des antagonismes – bien que sous-jacents. Est-il possible d’utiliser les réseaux sociaux pour réveiller des conflits latents et les transformer en conflits actifs virulents ? Bien sûr – c’est facile ! Particulièrement si vous considérez qu’une grande partie des utilisateurs de réseaux sociaux sont des jeunes – qui déclarent leurs positions au sein de la société et sont actifs.
Aujourd’hui nous recevons des informations de beaucoup de sources différentes, parmi lesquelles la télévision traditionnelle, la radio, les journaux et d’autres publications papier, et maintenant aussi les réseaux sociaux. Mais comment des renseignements précis sont-ils publiés sur ces derniers? Pour les médias de masse traditionnels, ce qu’ils montrent/publient est régulé par la législation. Ainsi, si un journaliste publie des informations fausses ou de façon provocatrice et déraisonnable, tôt ou tard il/elle devra répondre de sa publication, probablement au tribunal et via une amende significative. Et, il y a toujours un média pour penser à la réputation – point vital pour suivre l’audience/les lecteurs. Prendre des risques avec la réputation ne vaut pas la peine pour les médias traditionnels; ainsi, en règle générale ils sont très prudents avec ce qu’ils émettent/publient – de manière responsable.
Avec les réseaux sociaux les choses sont différentes. Il n’est pas toujours évident de savoir qui se cache derrière un surnom, ou si la responsabilité de ce qui est écrit est moindre, dans la mesure que quelqu’un peut simplement écrire sur ce qu’il/elle aime – que ce soit vrai ou non. En regardant les réseaux sociaux sous cet angle, ils peuvent être utilisés comme des plates-formes efficaces pour manipuler anonymement les masses, pour lancer et diffuser des fausses rumeurs, et pour provoquer et désinformer la population. Bien sûr, des réseaux sociaux peuvent aussi être utilisés de manière positive, mais le sujet ici est que l’on peut facilement en abuser, contrairement aux médias traditionnels. Il n’y a aucun chien de garde qui surveille les réseaux sociaux.
Théoriquement, et sans doute en pratique, les réseaux sociaux peuvent être utilisés pour déstabiliser des sociétés (qu’il s’agisse d’une bonne ou d’une mauvaise chose, à vous de voir, dans un cas précis). Nous n’avons pas à remonter très loin pour trouver des exemples : l’année dernière, nous avions le Printemps Arabe, l’Été Américain, l’Automne Britannique et l’Hiver Russe. Comme durant les guerres d’antan, où les messages de propagande écrits sur des bouts de papiers étaient lâchés par les avions sur le territoire ennemi, les réseaux sociaux sont aujourd’hui utilisés pour mener des campagnes de propagande semblables- lesquelles ne sont pas toutes des causes objectivement positives.
La solution chinoise – à savoir, enregistrer les utilisateurs de réseaux sociaux sur une base de documents d’Identités – va, à coup sûr, beaucoup trop loin. Mais alors, il est loin d’être facile d’obtenir l’équilibre en s’assurant de la liberté de parole et l’anonymat, mais en excluant en même temps la possibilité de manipulation massive. C’est un problème pour lequel je n’ai aucune solution. Des idées ?
4. Le cybercrime (dont nous continuons à entendre parler)
Le cybercrime est mondial, comme vous l’aurez probablement conclu désormais.
J’estime que les pertes de l’économie mondiale qui ont été causées par les actes déloyaux des cybercriminels peuvent se mesurer en milliards de dollars sur une année, peut-être des centaines de milliards. Fort heureusement, lors de leurs dernières conversations, les gouvernements de différents pays ont commencé à traiter ce problème, et des projets internationaux tout comme des unités de cyber police régionales et nationales ont été mis en place; l’unité IMPACT des Nations Unies fonctionne depuis 2008 et l’Interpol a annoncé l’ouverture d’un département spécial pour aborder le cybercrime à Singapour, en 2014. Ainsi, même si le problème du cybercrime ne sera pas entièrement résolu lors des prochaines années (ce qui est le plus probable), les cybercriminels auront cependant beaucoup plus de difficultés à poursuivre leurs tentatives nuisibles qu’ils n’en ont eu jusqu’à présent. Contrairement à, je regrette de le dire, les personnes qui se trouvent derrière la cyber guerre.
5. Cyber guerre
Une définition formellement établie et largement acceptée de cyber attaques militaires et/ou terroristes n’a pas encore été proposée. En attendant, ma définition est la suivante :
Les attaques de cyber guerre sont des attaques sur des systèmes critiques importants pour les économies nationales et/ou mondiales, et aussi pour la sécurité nationale et/ou mondiale, et qui ont pour objectif d’affaiblir le potentiel militaire et d’infliger des dégâts considérables aux états-nations ainsi qu’à leur capacité d’agir convenablement et comme ils le voudraient, avec des conséquences graves pour les populations humaines, incluant probablement des pertes humaines.
Et si vous pensez que de telles menaces sont tout droit sorties de la science-fiction, j’ai bien peur de devoir vous annoncer une très mauvaises nouvelles : tout ceci est déjà réel – aujourd’hui.
Une des premières attaques de cyber guerre, qui eu lieu en 2007, avait un caractère plus ou moins inoffensif (si un tel mot est dans ce cas adéquat et/ou approprié) : peut-être vous souvenez-vous de l’histoire d’une attaque de DDoS sur des sites Estoniens suite à laquelle le pays Baltique en entier a été déconnecté d’Internet. Mais ce n’était rien, vraiment rien, comparé à ce qui peut arriver…
En 2010, le monde a connu un second – cette fois-ci extrêmement sérieux – cas d’attaques ciblées de cyber guerre.
Un ver informatique incroyablement complexe appelé Stuxnet a pu pénétrer dans le réseau de l’installation nucléaire iranienne et saboter ses systèmes informatiques industriels et endommager physiquement ses centrifugeuses d’enrichissement d’uranium. Ce qui est très intéressant, c’est que le réseau informatique n’avait aucune connexion à Internet.
Depuis Stuxnet, les nouvelles du front de la cyber guerre ont commencé à tomber à un rythme infernal. La découverte la plus récente a été le ver de Flame, qui met bien en évidence combien les choses bougent en terme de cyber guerre dans le monde. Et je n’ai aucun doute sur le fait que les gouvernements sont derrière tout cela.
Et quoi d’aussi dangereux que les cyber armes ? Je ne vais pas me répéter : jetez un oeil à mon récent article. Laissez-moi juste faire un récapitulatif des conclusions que nous avons faites jusqu’ici.
Les aspects les plus dangereux des cyber armes sont leurs effets secondaires imprévisibles. Un scénario catastrophe serait celui d’une cyber arme qui viserait un objet industriel spécifique mais ne serait pas capable de choisir sa victime avec précision – qui comprenne une erreur dans l’algorithme ou une erreur banale dans le code – serait facilement concevable tant cela est énorme et complexe. Suite à une telle attaque, la victime ciblée – disons hypothétiquement une centrale électrique – ne serait pas la seule affectée : toutes les centrales électriques du monde construites avec le même modèle seraient également touchées. Un effet boomerang mortel.
Il est pratiquement impossible de nous protéger contre de telles attaques aujourd’hui. Pour ce faire, il faudrait concevoir à nouveau la quasi-totalité du code logiciel existant et migrer vers des systèmes d’exploitation sécurisés. Il est évident que ceci est pratiquement impossible; même si ça l’était, pouvez-vous imaginer la dimension des budgets concernés ? Aucun état ne se permettrait de faire des investissements si colossaux dans la sécurité informatique.
Alors, que faisons-nous ?
Ce problème doit être résolu de la même façon que les problèmes d’armes chimiques, biologiques et nucléaires ont été résolus dans le passé. Un accord international sur la coopération est nécessaire, ainsi que sur la non-prolifération et la non-utilisation de cyber armes. Un tel projet doit être organisé et coordonné par une organisation internationale indépendante – comme une Cyber-AIEA, idéalement sous l’égide d’une institution comme les Nations unies.
Je crois que tôt ou tard les États-nations voudront entièrement comprendre les dangers des cyber armes utilisées pour les attaques de cyber guerre, et mettront fin, si ce n’est au développement, au moins à la demande et à la prolifération des cyber armes.