Cyberfragiles

Nous sommes à poil sur Internet. Outre le sacrifice de notre propre vie privée, nous sommes surtout exposés à la menace grandissante des cyberattaques. C’est le constat de Cyber-fragiles, écrit par Thomas Saintourens et Blaise Mao. Et comme ce dernier est également rédacteur en chef de la revue Usbek & Rica, nous avons décidé d’explorer le futur du cyberespace avec lui.

Cyber-fragiles pourrait être un manuel scolaire, à l’usage des générations à venir qui n’ont conscience ni de l’Histoire du cyberespace dans lequel elles évolueront quotidiennement, ni des dangers qu’il a engendrés et engendrera encore. Dès l’introduction, on prend la mesure du chemin parcouru depuis les premiers bidouilleurs du MIT en 1959 au « monde où 3 milliards d’humains sont connectés à Internet, où plus de la moitié de la population mondiale sera connectée fin 2016 ». L’esprit rigolard et curieux des débuts, lorsque l’on ne réalisait pas encore que l’on avait réinventé la roue ou le feu, a laissé place à « un sentiment de paranoïa généralisé ».

Augmentation du nombre d’attaques de smartphones de 400% par trimestre

Et paranoïaque, il y aurait effectivement de quoi l’être. « Le constat est alarmant, c’est sûr. Surtout pour les usagers, indique Blaise Mao. Le nombre d’attaques ne cesse d’augmenter, et de façon impressionnante ». L’ouvrage cite le cabinet Pricewaterhouse Coopers (PwC), qui estime que le nombre d’attaques progresse d’environ 40% par an, portant à 177 000 le nombre de hacks par jour. « Le chiffre est à prendre avec des pincettes, tempère le journaliste. Car c’est très difficile de réellement recenser et tracer toutes ces attaques. Mais ce qui est sûr, c’est  que les pirates s’adaptent aux usages. Les données sensibles ne sont plus seulement stockées sur notre ordinateur de bureau, mais sur tout nos autres supports ». Ainsi, il évoque un chiffre encore plus parlant : « le nombre d’attaques sur smartphone augmente actuellement de 400% par trimestre. Et les Français ne sont pas épargnés, loin de là ».

Effectivement, la France fait partie du top 10 des pays les plus ciblés par les hackers. Et ces derniers deviennent de plus en plus malins. « L’arnaque « à la nigériane », ce mail avec quatre fautes par mots, qui vous demande d’envoyer de l’argent sur un sombre compte inconnu, c’est fini. Aujourd’hui, ces hackers sont formés à l’écriture de mails ciblés. Ils se renseignent, ils écrivent un français parfait, etc ».

owned
Mais si les multiplications d’attaques sont inquiétantes, l’auteur souligne une passivité des utilisateurs qui l’est tout autant. « Notre utilisation quotidienne des objets connectés est un héritage des années 90 où l’on installait son petit pare-feu sur son ordinateur et tout allait bien. Mais on a gardé cette naïveté alors que l’on n’est plus du tout dans ce mode de consommation d’objets connectés. Nous utilisons une multitude de comptes, sur une multitude de réseaux avec une multitude d’appareils ».

Le monde connecté est un monde fragile

C’est un poncif, mais qui ne semble pas entrer véritablement dans les usages : plus on est connecté, plus on est vulnérable. « Ce constat est pourtant simple, mais nos pratiques montrent qu’on n’est pas du tout préparés à cette cyber-fragilité. Nous entrons dans une nouvelle ère. Tout le monde peut le comprendre, mais tout le monde ne saisit pas l’ampleur des menaces que cela représente ».

Outre votre boîte mail, votre compte Facebook ou toute autre application sur votre smartphone, quelqu’un de malveillant possède désormais une multitude de portes d’entrée à vos données privées : votre télévision connectée, puis vos i-watch, Google glass etc. Même votre compteur EDF connecté, le baby-phone de votre enfant ou sa poupée « intelligente » ouvrent des failles dans votre intimité. Et demain, ce sera votre voiture intelligente, votre bracelet-santé, votre réveil connecté, etc.

Comme l’indiquait François-Bernard Huyghe dans nos colonnes : « tout système connecté est faillible. Et s’il existe une faille, il y aura toujours un petit malin pour la trouver ». Or avec un marché estimé à plus de 50 milliards d’objets connectés d’ici seulement 2020, notre fragilité n’en sera que plus grande.

Intervention de Blaise Mao et Thomas Saintourens dans l’émission La Curiosité sur RTL :

Dans Cyber-fragiles, les auteurs donnent la parole à de nombreux interlocuteurs, dont plusieurs représentants d’entreprises de sécurité. « L’un d’entre eux parle de naturisme numérique, indique Blaise Mao. Et c’est exactement ça : on est à poil sur internet, tout simplement. Bien sûr, ces professionnels de la sécurité, ce sont un peu des marchands de peur, c’est leur rôle de parler des menaces. Mais il ne faut pas se leurrer, elles sont incontestables ».

En parallèle des menaces sur les individus, le journaliste constate également que « de plus en plus de grandes affaires ont éclaté : Ashley Madison et ses détails croustillants [Ashley Madison, site de rencontres extra-conjugales, a été piraté en juillet 2015 et les données de plus de 32 millions de comptes ont été rendues publiques, NDLR], l’e-mail-gate d’Hillary Clinton, l’affaire Sony Pictures, l’attaque de TV5 Monde, etc. Ces affaires témoignent de cette situation, et mettent en lumière un problème majeur : la difficulté de tracer l’assaillant ».

« Des attaques comme celle de TV5 Monde, il y en a tous les 15 jours qui sont déjouées, poursuit Blaise Mao. Et si 90, voire 95%, sont contrées par des robots, il fait tout de même des moyens humains colossaux pour résister à ces attaques ». De même que pour les attaques terroristes déjouées, les chiffres sont discrets pour éviter de diffuser des informations sensibles ou de créer des mouvements de panique.

Pour rappel, alors que TV5 Monde était encore sous le choc de l’attaque (elle avait même dû cesser d’émettre) un reportage portant sur les attaques montrait des images sur lesquelles on pouvait voir que le mot de passe du compte youtube de la chaine était motdepasseyoutube.

Toutefois, le journaliste ajoute que « paradoxalement, d’autres points d’actualité, comme les révélations de WikiLeaks, l’affaire Snowden ou la loi sur le renseignement, ont sensibilisé le public à ces questions ». De là à voir émerger des réactions ou des solutions ? « C’est très discret, mais on voit apparaître petit à petit l’utilisation du chiffrement, ou de VPN, notamment chez les journalistes par exemple ».

Bientôt des changements législatifs ?

Cyber-fragiles cite également « une étude de Hewlett-Packard qui indique que 7 objets connectés sur 10 sont vulnérables, que ce soit à cause d’un mot de passe fragile, de données non chiffrées, de problèmes d’autorisations, etc. Mais cela signifie que l’on met sur le marché des objets qui présentent des failles. Et que les consommateurs ou entreprises les achètent », condamne Blaise Mao. Un chiffre qui soulève de nombreuses questions liées aux responsabilités. Pour le journaliste, cette situation ne pourra durer éternellement. « Pour l’instant, les associations de consommateurs ne se sont pas penchées sur la question, mais dans les années à venir, je pense qu’elles vont être obligées de s’y mettre ».

Internet of things

Autrement dit, il faudra se pencher sérieusement sur les recours législatifs et juridiques possibles. Mais cela ne concernera pas seulement les sociétés qui commercialisent ces objets cyber-fragiles. « La législation va changer, c’est un gros chantier actuellement, indique l’auteur. Et je pense que dans 5, 10 ou 20 ans, maximum, les banques et assurances ne voudront plus porter l’entière responsabilité en cas d’attaque. Par exemple, si votre mot de passe est 1234, ou que vous n’avez pas prêté attention aux questions de sécurité, ils ne considéreront plus que c’est de leur faute si vous vous faites hacker votre compte en banque ».

Pour le journaliste, nous passons avec difficulté « d’une ère où l’on essayait de ne pas se faire attaquer à une ère où ces attaques se sont banalisées, où l’on « vit avec » et on cherche la réponse la plus adaptée en cas d’attaque. L’erreur stratégique serait de continuer à penser « que faut-il faire pour ne pas être attaqué ? » Ce monde est difficile à contrôler, il faut acter ça ».

Quelle réponse des générations connectées ?

Cyber-fragiles dresse un constat clair : « cette situation est le résultat d’un manque de culture technologique. On a vécu sur le mythe d’un confort numérique hérité des années 2000 mais ce « cyber-monde » a changé, et il va continuer à changer. Il faudra imaginer des recours collectifs pour remédier à ça. Mais pour la génération des plus de 40 ans, c’est « déjà trop tard ». Tout ceci va rapidement les dépasser. Mais peut-être pas pour les suivantes ».

Et qu’en est-il justement des nouvelles générations ? Ceux que l’on a très vite appelés « digital natives » et que l’on dit nés un smartphone à la main ?

« Paradoxalement, beaucoup n’ont aucune conscience du danger, estime Blaise Mao. Ils envoient des photos d’eux à moitié à poil sur Snapchat, persuadés que ces dernières seront automatiquement effacées, mais tombent des nues lorsqu’ils apprennent qu’elles sont stockées dans des serveurs en dur. Eux ont presque oublié qu’internet repose sur des infrastructures physiques. Et surtout, ils donnent beaucoup, beaucoup de datas ». De manière totalement volontaire, bien entendu, en s’inscrivant à tous les réseaux sociaux et en partageant massivement toutes les informations à portée de clic, ou plutôt de pouce.

Extrait du guide Snapchat pour les parents
Extrait du guide Snapchat pour les parents. Ou quand Snapchat indique que « la sécurité à 100% n’existe pas ».

En revanche, malgré cette insouciance, voire inconscience, le journaliste estime « qu’ils seront beaucoup plus réceptifs à tous ces sujets, et bien plus capables d’y répondre. Les prochaines générations vivront une acculturation et devront, par choix autant que par obligation, respecter un certain nombre de règles de « bonne hygiène numérique ». Ils auront les codes, les clés de compréhension pour réagir ».

On pourrait imaginer une sorte de cyber-service militaire

Mais pour s’adapter à ce monde-là, il faudra bidouiller, changer soi-même un certain nombre de choses techniques, chiffrer ses communications, etc. Et si c’est foutu pour nous, qui ne disposons pas du bagage technique ou de la patience nécessaire, les prochaines générations devront impérativement s’y mettre. « Une évolution des consciences est indispensable, selon le journaliste. Elle pourra passer notamment par les écoles. On parle beaucoup de l’enseignement du code, par exemple, c’est très bien, mais je pense qu’il ne faut pas se limiter à ça. Il faut parler de prévention, de même que l’on parle désormais d’éducation sexuelle. On pourrait même imaginer une sorte de cyber-service militaire, au cours duquel on se formerait à ce nouveau monde ».

Une hygiène numérique basique, mais non respectée

Sans aller jusqu’à coder, ce que nous pouvons d’ores et déjà faire pour limiter les risques parait extrêmement simple. Mais les chiffres montrent que trop de gens négligent cette sécurité, « comme s’ils quittaient leur appartement en laissant la porte grande ouverte ». Quelques bases (très) indispensables :

« La première chose paraît bête, mais il faut tout de même se poser la question « ai-je vraiment besoin de cet objet connecté ? ». Il ne s’agit pas de faire de la techno-phobie ou de refuser le progrès, mais il faut que chacun ait bien conscience qu’à chaque fois qu’il achète un objet connecté, il s’expose un peu plus. Le principal conseil est donc de ne pas acheter aveuglement n’importe quel objet connecté ».

« Deuxième chose : ne pas centraliser/synchroniser ses comptes. C’est très pratique et la plupart des grosses boîtes du net vous le recommandent (Google et Apple en tête), mais si une faille est trouvée dans un des comptes, c’est tout votre système qui s’effondre ».


Enfin, « évidemment, il faut un bon mot de passe, long, avec des chiffres ou majuscules, et ne surtout pas mettre le même partout. Dans les pratiques, il ne faut pas cliquer partout, ne pas accepter tout ce qu’on ne connaît pas, etc. Rappelons que l’Élysée s’était fait hacker simplement car un employé avait accepté un faux-ami sur Facebook… »

Ces conseils sont les plus élémentaires. Pour aller plus loin, ce qui est, et sera de plus en plus, conseillé, vous pouvez vous équiper de votre kit de survie numérique. Le journaliste est optimiste : « je pense que les citoyens vont se former, vont changer leur rapport à la technologie. On ne verra plus de mots de passe 1234, ce genre de choses. Le niveau d’exigence va être rehaussé dans les décennies à venir ».

Et si demain notre corps était cyber-fragile ?

Mais ces règles auront-elles cours demain ? « Alors que l’on annonce la disparition du mot de passe ou que l’on parle du biodigital, on peut penser que tout cela sera a priori plus sécurisé, mais on aura le même problème », indique Blaise Mao.

La sécurité biométrique semble au final tout aussi piratable que le reste. On se souvient que les militants du Chaos Computer Club avaient « hacké » les empreintes digitales de Wolfgang Schauble, ministre des finances allemand, ou de la ministre de la Défense Ursula Von der Leyens.

Aujourd’hui déjà, un certain nombre de lieux sécurisés, comme les banques, utilisent la sécurité biométrique. Demain, achèterons-nous notre pain grâce à notre empreinte de l’Iris? Aurons-nous des puces pour faciliter les paiements ou les échanges d’informations ? « Il y a beaucoup de fantasmes autour du biométrique, souligne le journaliste. C’est très science-fiction, c’est sûr. On n’en est pas encore là ceci dit. On touche au corps, on peut imaginer que les réticences seront plus importantes ».

Mais au final, seule comptera la volonté populaire. « Si les citoyens sont majoritairement d’accord avec ça, sont en demande de ces nouvelles technos, il n’y a pas de raison que ça ne se fasse pas. On voit même quelques signes d’acceptation générale, à travers les téléphones sécurisés via les empreintes digitales. Demain on peut imaginer que le paiement par selfie sera également populaire ».

Si nos données, tant convoitées à l’heure actuelle, devenaient des données biométriques, ou protégées par notre propre corps, deviendrons-nous nous-même la cible de pirates ? Se poserait également un certain nombre de questions, notamment d’ordre éthique et juridique. « Que faire de toutes ces données biométriques ? Et à qui seront-elles confiées ? Le scénario du tout privatisé est très crédible. Parce que les GAFA sont déjà positionnés et qu’un État qui centraliserait tout ça, ce serait Big Brother, ou toute forme d’état policier qui fait flipper dans la science-fiction ».

« Accepter, c’est accélérer notre cyberfragilité, estime Blaise Mao. Mais je crois que les solutions émergent aussi vite que la cyberfragilité. Le corps n’est qu’une solution. Une autre pourrait être la blockchain, [infrastructure décentralisée, au sein de laquelle les données sont chiffrées et stockées dans des « blocs » indépendants, NDLR] par exemple. Ou toute autre solution qui n’existe pas encore, mais qui pourrait émerger grâce au collectif ».

Un mot-valise aujourd’hui, mais qui pourrait bien devenir un mot d’ordre demain. Collectif.

Pour aller plus loin :

 

Cyber-fragiles : tous à poil sur Internet

Category: Numérique
1
1916 views

1 comment

  • Merci pour ça, ce bouquin a l’air intéressant.

    « C’est un poncif, mais qui ne semble pas entrer véritablement dans les usages : plus on est connecté, plus on est vulnérable. »

    Si on parle société, oui probablement (tout ceci est très Ellulien d’ailleurs, cette forme de dépassement par la complexité, par le fourmillement. Perdrait-on le contrôle ?). Si on parle individu, il faudrait voir.

    Quant au cyber-service militaire, en effet, ça s’appelle l’école. Et je ne peux pas m’empêcher de noter ce passage : « elle pourra passer notamment par les écoles. On parle beaucoup de l’enseignement du code, par exemple, c’est très bien ». Comme ça, l’air de rien, l’injonction au code revient par la fenêtre, il s’agira déjà d’apprendre à lire et à écrire correctement le français (oh je sais, on me dira que je suis technophobe, réactionnaire, etc.).

    Parce que pour éviter de se faire arnaquer sur internet (par de vilains hackers ou de vilains GAFA) il s’agira avant tout de comprendre leurs enjeux, de lire leurs CGU (oui, oui, c’est long et fastidieux) et de nourrir un esprit critique chez les enfants, seule arme contre la manipulation. Cela pourrait commencer par exemple par arrêter de signer à tout va des partenariats avec lesdites sociétés que la France n’a de cesse de critiquer, n’arrivant pas à les concurrencer sur leurs propres terrains.

    On a souvent coutume de dire que 99% des problèmes informatiques sont entre la chaise et le clavier. A méditer.

Join the discussion

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *