Les révélations d’Edward Snowden sur les pratiques d’espionnage de la NSA et la médiatisation régulière d’attaques massives ciblant tel opérateur ou telle entreprise… ont largement mis la sécurité de l’information sur le devant de la scène ces derniers mois. Les foules prennent ainsi peu à peu conscience des vulnérabilités et menaces qui pèsent sur le monde numérique dans lequel nous évoluons désormais. « De toute cette effervescence anxiogène est né un sentiment de défiance généralisé envers les TIC, les éditeurs, les opérateurs et fournisseurs de service suspectés de collusion avec les services de renseignement et de sécurité des États. Face à cette agitation, deux attitudes sont observables : l’indignation et la résignation », constate le Général (2s) Jean-Louis Desvignes, Président de l’ARCSI.
– Une indignation des politiques qui figurent dans la liste des cibles américaines, même s’ils s’adonnent parfois aux mêmes pratiques, de certaines entreprises, mais aussi des médias. Toutefois, il n’en va pas vraiment de même du côté du grand public qui tend à se désintéresser du scandale, alors qu’il aurait pourtant les raisons les plus légitimes de s’en indigner.
– C’est alors que naît la résignation face à l’ampleur des dégâts et l’impuissance dans laquelle notre pays se trouve en matière de dépendance technologique. La France est, en effet, désormais contrainte de se procurer la plupart des briques de base à l’étranger, et doit donc suspecter chacune d’elles de comporter des failles, explique-t-il. Certaines entreprises sont découragées par les efforts colossaux nécessaires pour en assurer la sécurité. Sans compter la résignation des « honnêtes gens » qui pensent que de toute façon ce n’est pas bien grave parce qu’ils n’ont rien à cacher. Et quand bien même qu’on ne peut rien y faire…
Mais est-il vraiment trop tard pour réagir et créer un monde numérique de confiance ?

Le cyberespace au cœur d’enjeux géopolitiques

L’affaire Snowden représente, pour Frédérick Douzet - Titulaire de la chaire Castex de Cyberstratégie depuis février 2013, Professeure des universités à l’Institut Français de Géopolitique de l’Université Paris 8, le plus grand scandale dans l’histoire de la surveillance, et sa résonance a été de taille au niveau politique, comme médiatique. Même si certains disent que c’était un secret de polichinelle, les gens ont été surpris par l’ampleur et les détails de ces révélations. Depuis, tout a changé, car ce n’est plus seulement aujourd’hui une affaire d’experts, c’est devenu un problème politique, mettant à mal le niveau de coopération des États-Unis avec un certain nombre d’états.
L’ampleur de cet espionnage nous montre, de plus, que la surveillance globale est devenue banalisée et plus importante que le respect de la vie privée. On observe d’ailleurs une escalade importante des moyens en la matière. Cette affaire a également remis en lumière la domination américaine de l’Internet et leur hégémonie en matière de captation des flux de données globaux.
L’affaire Snowden laisse place à une large désillusion quant à la protection et au respect de notre vie privée, et relance le débat sur la sécurité et la surveillance. La question du contrôle démocratique se pose aussi, ainsi que la façon dont nous pensons les garde-fous et contre-pouvoirs. D’ailleurs si on se lance dans l’Open Data, les risques seront encore plus nombreux et les questions de souveraineté prégnantes, estime-t-elle.

Sans compter que l’équilibre est en train de changer, puisqu’on dénombre aujourd’hui 600 millions d’internautes en Chine contre 300 millions d’habitants aux États-Unis. Le cyberespace est au cœur d’enjeux géopolitiques forts et oscille actuellement entre balkanisation et continuité de la domination américaine. La mutation des équilibres soulève toutefois des enjeux qui doivent dépasser les conflits politiques. Il convient de repenser les normes et la définition des responsabilités des états, en vue de futurs accords internationaux. Le problème est qu’un accord repose sur la confiance, mais la relation transatlantique a souffert avec l’affaire PRISM et cette confiance a été sérieusement ébranlée. En outre, maintenant que c’est l’Asie qui sort du lot, il faudra voir de quelle manière les pays asiatiques envisagent ces questions et ces droits.

Tous les moyens sont bons pour exploiter le cyberespace et ses utilisateurs

Outre ces enjeux géopolitiques, le cyberespace et ses utilisateurs sont en proie permanente aux menaces, vulnérabilités et business de tout type. Qu’elles soient techniques ou humaines, toutes les méthodes tirent leur épingle du jeu quand il s’agit de générer du profit grâce à la valeur de l’information exploitée.

Le Big Data, caractérisé par les 3V (Volume, Vélocité, Variété) est d’ailleurs en ce sens la nouvelle « arme » à la mode et représente un business juteux, puisqu’il permet de traiter à la volée l’amas très volumineux de données brassées par le numérique. Ses champs d’utilisation sont multiples, explique Philippe Wolf, Conseiller du Directeur Général de l’ANSSI : champs scientifique (démarches prédictive et algorithmique), mercatique (publicité ciblée) ou encore sociétal. Plusieurs domaines connaissent même une certaine ampleur en la matière : la publicité ciblée, la vérification d’identité et la détection de fraude, ainsi que la recherche de personnes. Demain, le Big Data sera, de plus, alimenté par les objets connectés. Le Big Data est censé pouvoir nous fournir les moyens de mieux comprendre le monde, mais alimente surtout les intérêts économiques des acteurs au pouvoir.
Pour lui, le Big Data nécessite de repenser la sécurité, car les problèmes de sécurité liés au Big Data sont multiformes et apportent de nouveaux dangers. La protection et la confidentialité des données supposent, selon lui, un chiffrement qualifié, ainsi qu’une saine gestion des clés. La protection des données personnelles passera aussi par l’anonymisation. Tor embête la NSA et un Tor européen pourrait, en ce sens, avoir son intérêt, au même titre que des solutions de signature anonyme par exemple. L’affaire Snowden nous aura appris que tout est piégé, il y a même des pièges mathématiques. De nouvelles alternatives devront donc être pensées.

65% des internautes déjà victimes d’une cyberattaque

La boulimie d’informations attise effectivement toutes les convoitises, observe le Major Fabrice Crasnier, Commandant de la division Analyse Criminelle et Investigations Spécialisées de la Section d’Appui Judiciaire de la région de Gendarmerie Midi-Pyrénées. 92% des internautes français surfent tous les jours sur Internet et les usages informatiques sont de plus en plus divers et variés (messagerie, réseaux sociaux, entreprise...). Revers de la médaille : on dénombre 8 victimes par seconde d’une cyberattaque. 65% des utilisateurs d’Internet auraient d’ailleurs déjà été victimes d’une cyberattaque. 75% des attaques seraient financières. Du côté des délinquants, on retrouve les escrocs et les prédateurs du Web, les Hats (grey, black), mais aussi les sociétés et les États qui veulent prendre la main sur la Toile. Il n’existe donc plus vraiment de profils types aujourd’hui.

Les cybermenaces s’articulent autour de trois grandes catégories, explique Cédric Perrin, DPSD Toulouse : l’espionnage, la déstabilisation et le sabotage. Depuis 2013, 119 incidents de sécurité informatique ont été traités dans la région Midi-Pyrénées. Du côté de l’espionnage, il s’agit principalement d’attaques via Internet (APT, troyens...), du vol de laptops, de documents sensibles, mais aussi d’ingénierie sociale. Pour ce qui est de la déstabilisation et du sabotage, on retrouve le plus souvent des cas de modification de sites Web, de phishing, ransomwares...

Pour mener à bien leurs méfaits, les attaquants exploitent tout type de failles et de vulnérabilités. Ce fut le cas avec la faille OpenSSL « Heartbleed », indique Jean-François Audenard, Expert en sécurité - Orange Business Services, qui a fait couler beaucoup d’encre ces derniers mois. Cette faille est provoquée par une erreur au niveau de la fonction de « heartbeat » entre un client et un serveur SSL. Cette fonction de « heartbeat » a été introduite afin de permettre à un client et serveur de maintenir active une connexion SSL même dans le cas où aucune donnée n’est à transmettre. Dans cette fonction de « heartbeat », le client envoie un certain volume de données vers le serveur ; ce dernier les renvoie ensuite vers le client. Cet « aller-retour » permet de vérifier que la connexion est bien opérationnelle. La faille « Heartbleed » se trouve du côté du serveur, ce dernier ne vérifiant pas que le nombre de données indiqué par le client corresponde effectivement à celui envoyé.
« Heartbleed » permet de récupérer différentes informations, telles que la clef RSA privée du serveur, les clefs de session TLS, les données à caractère personnel, mots de passe, cookies, les tickets de session TLS… Avec pour conséquences, la possibilité de réaliser des attaques de type Man-in-the-Middle par exemple.
Parmi les actions à avoir en réponse, il conseille tout d’abord d’évaluer les systèmes impactés, de définir une stratégie de réponse, de changer les clefs, puis les mots de passe… La crypto est restée fiable, c’est sa mise en œuvre qui a été défaillante.

L’un des démonstrateurs de l’ARCSI nous a, quant à lui, expliqué comment manipuler un poste de travail avec une clé USB. En effet, grâce à une petite puce programmable Teensy, que l’on peut mettre dans une clé USB ou une souris, il arrive à lancer l’exécution automatique de code sur un poste de travail Windows 7 malgré la désactivation de l’autorun. Le lancement d’un exécutable directement sur la clé permet de contourner l’autorun désactivé.
Il nous a également démontré que pirater un site Web est à la portée de tous, même d’un enfant de 12 ans. Grâce à des outils, comme Havij, n’importe qui peut très facilement prendre le contrôle à distance du CMS d’un site, puis de la base de données qui est derrière, et enfin avoir la mainmise sur le serveur Web. Une fois administrateur du CMS, on peut, en effet, créer des utilisateurs, installer une backdoor sur le site… Un serveur Web est toujours fragile, rappelle-t-il. C’est pourquoi il faut le mettre à jour régulièrement et installer les outils de sécurité adéquats.

L’humain : toujours la première source du renseignement

Les vulnérabilités ne sont pas toutefois uniquement techniques, observe Maurice Griponne, Commandant de police, DGSI. Elles sont également largement identifiées au niveau humain. En effet, les dispositifs techniques sont globalement efficaces tant que l’humain est vertueux. Le renseignement est aujourd’hui devenu une matière première, et la protection ne peut se faire sans maîtrise de son information stratégique. On estime à peu près à 80% l’information ouverte dans une entreprise, et 20% l’information confidentielle. Les fuites d’informations observées au niveau des établissements seraient le plus souvent dues à de la négligence (35%), une sécurité défaillante (30%), une malveillance interne (20%) ou une attaque ciblée (15%). Quoi qu’il en soit, la sécurité du collectif dépend des comportements de chacun, d’autant que les fuites d’informations seraient souvent le fait d’indiscrétions orales.
MICE (Monnaie, Idéologie, Compromission, Ego) reste le maître-mot du renseignement humain. On a tous des comportements qui peuvent nous rendre sensible. L’objectif pour l’attaquant, une fois sa cible identifiée, est de trouver les points faibles de celle-ci (que ce soit dans sa vie publique, privée ou intime) et d’en jouer pour l’inciter à fournir les renseignements souhaités. Manipulation sur le plan psychologique, ingénierie sociale, exploitation des données que nous publions tous sur les réseaux sociaux professionnels et personnels… tous les moyens sont bons pour arriver à ses fins. Il faut savoir qu’à partir du moment où on publie une information sur Internet, elle ne nous appartient plus.
Le renseignement technique repose, de son côté, généralement sur l’exploitation des stations d’impression, supports amovibles, points d’accès wifi, Bluetooth…

Parmi les principaux conseils qu’il peut donner aux entreprises en la matière, il recommande notamment de :
– Ne jamais évoquer ses dossiers en public ;
– Toujours identifier son interlocuteur au téléphone ;
– Ne pas travailler sur des sujets sensibles dans les lieux publics ;
– Assurer la gestion et l’accompagnement de toute personne extérieure à l’entreprise, mais aussi des stagiaires ;
– Renforcer sa vigilance lors de déplacements à l’étranger…
Si vous êtes confronté à ce type de problème, dans un premier temps, préservez votre intégrité physique, et surtout rendez compte à votre autorité, déclarez toute disparition de matériel...

Sécurité : de la protection des lieux aux principes de défense en profondeur, en passant par l’intelligence économique

Concernant les principes relatifs à l’organisation en matière de SI classifiés, Cédric Perrin cite pour sa part : l’homologation du système, la prise en compte de la sécurité, la politique de sécurité, l’organisation de la chaîne des responsabilités, le contrôle de la sécurité du SI, la gestion des incidents de sécurité.
Il faut savoir qu’un secret est un puzzle : chaque pièce représente un bout d’information, mais on n’a pas forcément besoin de disposer de toutes les pièces pour avoir une bonne vision de l’image. La sécurité repose à la fois sur des principes de protection des lieux (dispositifs de protection, de détection et d’alarme, moyens d’intervention, dispositifs de dissuasion…), des principes relatifs aux moyens techniques (protection physique et technique du système, agrément des dispositifs de sécurité...) et de défense en profondeur (prévenir, bloquer, contenir, détecter et réparer).

La sécurité passe également par une démarche d’intelligence économique au sein de l’entreprise, explique Christian Szypura - Chargé de mission Régional à l’Intelligence Économique (CRIE), Service de Coordination à l’Intelligence Économique (SCIE) – DIRECCTE. Celle-ci repose principalement sur le partage et la valorisation de l’information par l’ensemble des acteurs. Il s’agit d’un processus de recherche, d’analyse, de diffusion, puis d’enrichissement des ressources informationnelles. Celles-ci contribuent au savoir-faire des PME-PMI qu’il va falloir protéger. Mais avant de les protéger, il faut se poser la question de savoir comment les mettre en place ? Le rôle du CRIE en région s’inscrit dans cette démarche : principes de la veille, coordination interministérielle, et exemples d’actions (veille et management de l’information stratégique). Veiller c’est surtout savoir gérer, prioriser son information stratégique pour la protéger, diffuser les bonnes informations aux bons acteurs, amener une valeur ajoutée dans l’entreprise pour protéger son savoir faire et mieux communiquer, mais aussi favoriser l’émergence d’une culture de la protection.

Quid des poursuites judiciaires ?

La cybercriminalité est l’une des formes de criminalité qui connaît actuellement la plus forte croissance, reprend le Major Fabrice Crasnier. Pour lutter contre ce phénomène, la gendarmerie dispose désormais d’enquêteurs spécialisés, plus connus sous le nom de gendarmes N’Tech. Ceux-ci disposent à la fois d’une formation juridique et d’une formation informatique. Parmi ses différentes missions, le gendarme N’Tech assiste, entre autres, aux perquisitions, épaule les enquêteurs grâce à la recherche et au recueil d’indices et de preuves numériques sur tout type de supports et de technologies…

Une enquête en cybercriminalité commence toujours par l’analyse des données de connexion acquises par voie de réquisition judiciaire. Cependant, la problématique du coût peut rapidement devenir un frein aux enquêtes, sans compter les problèmes de délais au niveau des réquisitions qui peuvent parfois prendre plusieurs mois. Si le système judiciaire montre de bons résultats lorsque la victime et l’auteur se trouvent sur notre territoire, il en va autrement lorsque l’auteur, sans obligatoirement s’expatrier, ajoute des problématiques internationales ou des technologies de furtivité lors de la commission d’une infraction. Les enquêtes au niveau international atteignent souvent rapidement leurs limites, du fait de la difficulté d’accès aux données en dehors de la plaque Europe.
Pour le Major Fabrice Crasnier, l’arsenal législatif dont nous disposons aujourd’hui en France est, malgré tout, nécessaire et suffisant. Outre le processus de dépôt de plainte qui s’avère fondamental en la matière, le problème est que les cybercriminels exploitent les failles de notre système : l’évolution rapide et perpétuelle des technologies modernes, la miniaturisation des supports, l’accroissement des capacités de stockage, les lenteurs administratives, les conflits et règles internationales, la rapidité des réseaux, l’anonymat… En effet, face à des serveurs de phishing anonymes (Oignon Pi…) qui changent d’adresse IP tous les quarts d’heure, il reste parfois très difficile d’appréhender les attaquants.

Du côté de la réglementation, les choses évoluent aussi, puisque le Parlement européen a adopté le 3 avril 2014 un projet de règlement européen sur l’identification électronique, explique Fabrice Mattatia, Ingénieur en chef des Mines, Docteur en droit. Ce projet de règlement, eIDAS, vise une harmonisation et une interopérabilité des services de confiance (signature électronique, sceau électronique, horodatage, valeur des documents électroniques, authentification de sites Web...). L’objectif est de rendre le document électronique équivalent à celui papier. La reconnaissance, au niveau européen, des identités électroniques des citoyens et des personnes morales, permettra également de mieux lutter contre le phishing.

« Indignons-nous, mais ne nous résignions pas »

Face à cette société de surveillance et quelle que soit la menace, il est encore temps de réagir et d’agir, estime le Général (2s) Jean-Louis Desvignes, d’autant que nous en avons les moyens. Sur le plan technique, nous avons encore quelques champions capables de produire les solutions matérielles et logicielles susceptibles de nous mettre à l’abri des principales vulnérabilités. Les règles qualifiées par l’ANSSI « d’hygiène informatique » doivent être appliquées au sein des entreprises, qu’il s’agisse de grands comptes ou de PME. Les investissements en matière de protection, quant à eux, ne doivent venir qu’après une analyse rigoureuse du risque et se traduire par un recours à des solutions réellement efficaces.

La proportionnalité entre les moyens mis à la disposition de la Justice et des forces de police et les menaces auxquelles celles-ci doivent faire face doit demeurer la règle. Cependant, seules des actions conduites internationalement cherchant autant que faire se peut à éliminer toute forme d’hégémonie technique, juridique ou culturelle peuvent avoir une chance de réussir. Il existe des solutions pour retrouver la confiance dans les technologies. Alors, « Indignons-nous, mais ne nous résignions pas », conclut-il.