Sécurité informatique et émergence de la cyberguerre
© Hervé Cuillandre 2017 in Humanisme n°315
Travailler pour la sécurité informatique d’un grand groupe est une aventure de chaque instant.
On peut imaginer à travers le cinéma que des bataillons de hackers dissimulés et possédant parfois des moyens d’état travaillent sans relâche à voler nos données les plus sensibles pour en faire commerce, espionner nos avancées technologiques ou nous compromettre.
Cette caricature est bien conforme à la réalité !
En France les grands groupes du CAC40 sont en permanence attaqués. Mais la majorité des intrusions demeurent invisibles. Les attaques qui sont découvertes le sont en moyenne 240 jours plus tard en Europe. Et leurs conséquences sont très difficiles à estimer. Elles vont de l’espionnage industriel, à l’atteinte à la réputation en passant par de plus classiques escroqueries.
On parle d’asymétrie, car si nos organisations (entreprises ou administrations) doivent assurer une présence publique et donc potentiellement se protéger de tous les types de menaces connues, elles sont confrontées à des entités inconnues qui exploitent toutes les faiblesses techniques disponibles.
L’organisation doit donc être parfaitement à jour techniquement, car la moindre faille est fatale, alors que chaque pirate est souvent spécialiste d’un type d’attaque particulier.
Chaque jour la recherche met à jour de nouvelles vulnérabilités dans les systèmes informatiques. Et chaque jour, des pirates s’en servent pour s’introduire dans les systèmes qui ne sont pas suffisamment protégés. Ils exploitent des vulnérabilités appelées des zéro-day, en raison du fait que personne ne les connaissait jusqu’à présent.
Les entreprises qui ont le plus de moyens financiers sont théoriquement mieux protégées, mais sont également attaquées beaucoup plus fréquemment, et par des hackers infiniment plus aguerris. Les petites entreprises, les associations ou les particuliers ne sont pas en mesure de se défendre et doivent isoler leurs données sensibles pour éviter de se les faire voler ou même rançonner.
Nous sommes entrés dans une nouvelle ère de la guerre de l’information. Une cyberguerre fait rage.
Mais le problème du vol de l’information n’est pas nouveau. L’information stratégique a pu dès l’antiquité être codée pour être transmise uniquement aux personnes de confiance. Une tablette d’argile du XVIème siècle avant Jésus Christ détaillant des techniques de poterie en atteste. Le premier traité de cryptographie connu écrit par Enée le Tacticien daterait du IVème siècle avant Jésus-Christ.
Toutes sortes de techniques astucieuses sont mises au point, principalement à l’occasion de grandes batailles, pour communiquer « entre les lignes ». Le message doit être transmis avec fiabilité. Il doit être indécryptable, au moins dans un temps raisonnable. Il doit enfin être vérifiable et contient donc une preuve de son authenticité et du fait que personne d’autre n’en ait pris connaissance.
Durant la seconde guerre mondiale, les transmissions allemandes étaient codées par la machine Enigma et par la machine de Lorentz, d’une incroyable complexité. Cette dernière a nécessité la création d’un ordinateur appelé Colossus pour vaincre le code généré.
Il n’y a donc pas de système inviolable. A chaque fois, le temps est venu à bout des systèmes les plus élaborés. Nous assistons toujours actuellement à cette course pour la sécurisation de nos données, face à des hackers toujours plus efficaces.
Il est bien loin le temps où le roi des Hackers Kevin Mitnick piratait pour s’amuser les systèmes bancaires par téléphone, en jouant sur la confiance des standardistes. De nos jours, la cyberguerre est stratégique. A ce titre, les gouvernements investissent des fortunes considérables pour casser les codes et savoir tout sur tout le monde, avant tout le monde. Quelle organisation peut se targuer de ne pas s’être fait voler ses informations ? Pire : qui est en mesure de dire exactement s’il s’est fait voler quelque chose, et quoi ?
A l’heure où nous confions sous la contrainte de l’efficacité toutes nos données personnelles à toutes sortes d’organismes en réalité peu scrupuleux, nous devinons à quel point nous sommes devenus vulnérables, prévisibles, et combien la confidentialité est devenue parfaitement illusoire.
Le problème réside en réalité dans l’homogénéité des formats et dans la quantité d’information disponible.
Dans l’antiquité, voler un message pouvait compromettre une bataille, mais ne mettait pas à nu une population entière. Chacun utilisait un moyen original pour se prémunir des indiscrets, et toutes les informations n’étaient pas disponibles. A fortiori, elles ne pouvaient pas être stockées au même endroit.
Le problème réside dans la confiance béate que nous avons acquise envers l’informatique et ses moyens de stockage dits sécurisés, qui ne barrent le chemin qu’aux plus inoffensifs.
N’avons nous jamais été victimes de l’absurdité d’un verrouillage aveugle, qui en réalité n’arrêtera jamais un vrai voleur ?
Je ne détaillerai pas ici les moyens techniques incroyables, et parfois déroutants de simplicité qui existent pour voler des données en toute impunité. Là n’est pas mon propos même si le sujet est autant passionnant qu’effrayant.
Choisissons ce que nous voulons bien stocker ! Utilisons le moins possible de données nominatives dans nos communications électroniques. Ne transmettons jamais de codes d’accès. Acceptons de considérer que les moyens numériques qui sont mis à notre disposition ne sont en réalité pas notre propriété. Comprenons que ce qui est rédigé sur un clavier cesse juste d’être confidentiel.
A partir de là, nous pouvons aussi constater que l’immense majorité des données que nous stockons n’a aucun caractère confidentiel et n’a pas à requérir d’attention particulière de notre part.
Pour autant une guerre de l’information s’est engagée, dans un monde où justement tout est enregistré sur support informatique. Dans un monde guidé par les réseaux sociaux et l’information immédiate. Maîtriser l’information devient crucial pour agir sur les comportements. Et jamais il n’a été aussi aisé de réaliser cette prouesse.
Alors que le renseignement s’est mué en cyberguerre, l’information des masses a subi de son côté une curieuse distorsion.
La rumeur organisée à dessein sur les réseaux sociaux a été en mesure d’influencer à distance et anonymement des processus électoraux, avec une efficacité redoutable et des moyens très réduits.
Elle profite de l’isolement de l’internaute qui se croit bien informé.
En réalité, l’information gratuite qui nous parvient est souvent celle qui nous ressemble. Il a été démontré que la même information sur les réseaux sociaux est proposée aux lecteurs de différentes manières sur les réseaux sociaux. Par exemple, selon la couleur politique d’un lecteur, une même nouvelle peut être proposée avec une optique de gauche ou de droite, le confortant ainsi insidieusement dans l’idée que toute la société pense comme lui. Dans ces conditions, les anti-Brexit n’ont rien vu venir. Pas plus que les anti-Trump, convaincus qu’ils étaient de gagner chacun de leur côté. Le risque est ici de ne rien déceler et de ne jamais réagir. L’impression étant d’avoir toujours raison, ce qui amène au développement de la radicalisation, puisque la controverse n’existe plus. On peut craindre que seule la presse payante qui nous propose de vérifier l’information, ne s’adresse plus qu’à une minorité : les CSP++. Ce qui est gênant, c’est que la grande majorité des citoyens, des électeurs ne peuvent lire que de l’information gratuite.
Dans ce contexte dépourvu de contradiction, la rumeur est reine. Un petit groupe de hackers géorgiens s’est étonné de la facilité de diffuser de manière virale une rumeur en contexte électoral. La rapidité explosive de leur diffusion sur les réseaux sociaux, rend impossible toute vérification, et tout démenti, dans le temps d’une élection.
Commander un processus électoral à distance est devenu immédiatement un jeu de pouvoir prioritaire pour certains états qui y ont vu l’opportunité de tisser rapidement et de diriger un réseau politique international à leurs ordres.
Un nouveau concept est né : celui de la post-vérité, qui caractérise la nouvelle ère de l’information de masse que nous traversons en ce moment. Salir un opposant est plus efficace qu’un bon programme électoral. Profiter de la crédulité et de la colère de l’électeur est plus efficace également que faire appel à son sens des responsabilités. Mais où allons-nous ? Vers où retournons-nous ? Dans un monde instable, des événements imprévisibles peuvent aussi avoir des conséquences dramatiques disproportionnées.
Les réseaux sociaux s’organisent actuellement pour que leur célérité ne soit pas le terreau pour l’émergence d’un nouveau totalitarisme. Ils promettent plus de vérification des informations et éventuellement plus de contradiction dans les supports automatiques qu’ils proposent. Là encore, il faudra être plus rapide et plus malin que certains groupes mal intentionnés. Et il y a fort à parier que l’organisation éthique des contenus automatiques devienne un métier à plein temps comme celui de responsable de la sécurité informatique.
Pour autant, l’humanité ne s’en laisse pas compter longtemps. Le capital de confiance envers les informations automatiques gratuites va très vite s’éroder. Il sera de plus en plus difficile de mentir sans aucun fondement.
La prochaine étape sera forcément de hacker les esprits de façon plus organisée et complexe. Comme le dit l’adage, il n’y a pas meilleur mensonge que celui qui contient un peu de vérité. Aussi, s’orientera-t-on vers l’organisation de rumeurs plus élaborées, fondées sur des données partiellement vérifiables, quitte à ce qu’elles proviennent de piratages. Encore une fois, méfions-nous des informations trop personnelles que nous laissons à nos ordinateurs, car il pourraient nous perdre demain.
Jérimie Rifkin a brillamment comparé la gestion de l’énergie à celle de l’information. Il considère que la libre circulation de l’énergie va constituer la 3 ème révolution industrielle mondiale.
Actuellement, nous vivons encore sous la dépendance du pétrole et subissons d’importantes déperditions d’énergie dans le transport électrique qui est centralisé.
Nous évoluons vers une production « distribuée » d’une énergie devenue plus propre. Chaque bâtiment peut être producteur d’une énergie renouvelable qu’il pourra stocker ou revendre. Le réseau de ces petits producteurs connectés s’appelle un smart-grid. La 3 ème révolution industrielle et la transition énergétique sont en marche. Un avenir sous la forme d’un gigantesque marché de l’énergie connecté entre tous les producteurs et consommateurs prend corps et s’appuie sur l’automatisation rendue possible par les récents développements technologiques.
Nouvelle chance pour nos pays industrialisés. Plus mauvaise nouvelle pour les producteurs de gaz et de pétrole, qui pourront essayer de casser le marché avec une énergie bradée.
Un nouvel équilibre local se dessine avec les petits producteurs qui pourront bénéficier de la sécurisation de la Blockchain pour réaliser des micro-transactions. De cet équilibre dépendra le prix de l’électricité dans les villes.
Alors, le parallèle entre le smart grid et Internet ne s’arrête pas là.
Nous pouvons assez facilement nous faire dérober nos coordonnées bancaires sur la toile. Et il faudra aussi être très attentifs à ce que les transactions énergétiques ne soient pas détournées par des pirates qui utiliseront les mêmes types de technologies. On peut imaginer que le détournement d’énergie ou le paiement de transactions fictives intéresseront beaucoup les mafias de demain.
Par exemple, il n’est pas exclu que des personnes malveillantes puissent prendre le contrôle à distance du stockage d’énergie que vous aviez prévu pour l’hiver, et de le brader contre une somme que vous ne reverrez jamais.
De même, la surveillance électronique de nos activités numériques sera équivalente à la possibilité d’espionner nos consommations électriques, afin d’en déduire notre présence à domicile ou même d’analyser ce que nous possédons exactement comme équipement et quand nous l’utilisons.
Bloquer une société ou une administration en la piratant porte le nom d’attaque par déni de service. De la même manière, il est possible de saboter à distance des installations énergétiques, voire de provoquer des incidents majeurs. Il sera possible de rançonner à distance les producteurs, comme le font les hackers envers des société dont ils cryptent les données.
Nous voyons avec ces quelques exemples que la cyberguerre à laquelle nous assistons actuellement dans l’information et son usage peut se déployer dans le domaine de l’énergie si nous n’y prenons pas garde. Actuellement la cybersécurité investit ce champ. Mais lorsque des états souhaiteront déstabiliser en leur faveur le marché énergétique, ces mesures seront devenues insuffisantes.
Actuellement, l’attention est portée sur l’effort de désinformation des institutions démocratiques pour les déstabiliser et instaurer un nouvel équilibre géopolitique. Demain, la menace pourra porter sur les infrastructures énergétiques qui pourront être des cibles de choix pour la cyberguerre.
Il est temps de rassembler toutes nos bonnes volontés au-delà des frontières nationales et concurentielles, en organisant la protection de nos actifs. Comme nous devons avoir le réflexe de ne jamais mettre sur une machine en ligne nos données sensibles, il faut penser à la sécurisation des infrastructures, et à fortiori les infrastructures énergétiques de demain dès leur conception. Identifier et combattre les menaces dans leur globalité, et plus seulement dans la perspective de gagner une course technologique.
Ne jamais oublier que la cyberguerre est devenue une réalité et qu’il serait pour le moins irresponsable de ne pas répliquer.
© Hervé Cuillandre 2017 in Humanisme n°315