Forum ATENA : où va la cybersociété ?
juin 2011 par Emmanuelle Lamandé
Le Forum ATENA, en partenariat avec Eurolinc, organisait la semaine dernière le troisième volet de son évènement dédié au « Futur de l’Internet ». Cette conférence consacrée à la « Cybersociété » et son évolution a réuni près de 200 participants autour de grandes pointures du monde de l’Internet, le tout orchestré par Gérard Péliks, Président de l’Atelier Sécurité du Forum ATENA.
Où va l’Internet ? Quelles sont ses évolutions probables ? Assisterons-nous bientôt à la création d’une nouvelle organisation acceptée et reconnue au niveau international autour de l’Internet ? Pour Louis Pouzin, Créateur du datagramme – coordinateur de projets d’Eurolinc, qui s’est prêté en premier à l’exercice difficile de la prospective, un certain nombre de facteurs freinent sa mondialisation et son homogénéisation. En premier lieu, il souligne la difficulté sociologique de changer quoi que ce soit. Certains acteurs ont des intérêts corporatifs manifestes dans le schéma actuel et souhaitent donc le défendre coûte que coûte. De plus, l’accès à Internet est aujourd’hui extrêmement divers et inéquitable dans le monde. La barrière de la langue est, quant à elle, un obstacle évident à l’homogénéité. L’interopérabilité fait souvent défaut, comme c’est le cas par exemple entre IPv4 et IPv6. Certains grands groupes, tels que Apple, Microsoft, Adobe, …, proposent des services très propriétaires. Enfin, les usages font qu’on se retrouve cloisonné dans un certain nombre de clans. On assiste à des formations d’alliances qui aboutissent à des standards que certains adoptent, d’autres non… Internet est donc un ensemble de réseaux autonomes, variables selon ce qui les met en œuvre. Par exemple, la Chine a son propre Internet, pour des raisons politiques, d’indépendance…
Pour Louis Pouzin, le mythe comme quoi l’on ne pourrait pas éteindre l’Internet est faux, il existe des gens tout à fait capables de fermer les robinets. L’exemple récent de l’Egypte en est la preuve. De plus, il ne faut pas perdre de vue qu’Internet n’a rien de garanti sur le plan physique ; les ruptures de câbles (Internet, téléphone…) sont très fréquentes…
Parmi les principales évolutions à prévoir, il souligne un accroissement certain et continu des performances techniques. Toutefois, cette recrudescence ne fera que marquer davantage l’écart technologique existant entre certaines régions du monde. Le sans-fil amènera, de son côté, de nombreux nouveaux utilisateurs d’Internet. Il faudra donc être en mesure de se protéger d’une façon ou d’une autre. De manière générale, on observera, selon lui, une progression au niveau de l’interface utilisateur, mais un recul au niveau du concept réseau.
La gouvernance reste le gros problème, et plus ça va aller moins on trouvera de solutions, car tout le monde ne parle pas comme nous (différences de culture, de langues, de besoins…). « Selon la culture, chacun a déjà une définition différente de ce que peut être la liberté d’expression, la confidentialité, ou encore le filtrage. Il va donc falloir tolérer des tas de gens qui ne sont pas comme nous et beaucoup plus nombreux » conclut-il.
Robert Erra, Louis Pouzin, Michel Riguidel et Philippe Wolf
« Les services de sécurité devront, à l’avenir, être totalement intégrés »
Philippe Wolf, Conseiller du Directeur Général de l’ANSSI, caractérise le cyberespace par trois « théorèmes » :
– Toute information n’est pas bonne à numériser. En effet, un fichier numérique se clone parfaitement. L’information peut donc être dupliquée à l’infini. Il faut repenser la protection de l’information en profondeur, et notamment des données à caractère personnel.
– Le théorème de la confiance : pour pouvoir parler d’informatique de confiance, il faut en maîtriser les techniques. Nous ne pouvons pas avoir confiance en des logiciels que nous n’avons pas créés.
– Enfin, le « théorème du virus » : la détection du virus est indécidable à la fois par une analyse a priori ou par une analyse dynamique.
Parmi les principales tendances en matière d’attaques, il souligne, entre autres, les attaques ciblées, ou si l’on suit l’effet de mode les APT (Advanced Persistent Threat), les DDoS, Stuxnet, ou encore les Flash Crash. Pour lui, APT n’est qu’un acronyme pompeux visant à définir des techniques qui existent depuis près de 20 ans. Néanmoins, force est de constater que les attaques ciblées vont certainement se multiplier dans les années à venir. Toutefois, quand l’on voit l’effet dévastateur du ver Conficker, qui a affecté de nombreux systèmes opérationnels, on peut se dire que les attaques non ciblées ont elles aussi de l’avenir. Les DDoS resteront, quant à eux, un problème sérieux dans le futur. On devrait, en outre, observer de plus en plus d’attaques sur les couches basses d’Internet, ou encore une sophistication des rançongiciels.
Pour Philippe Wolf, la cyberfragilité devrait s’accentuer dans les années à venir, via les risques qui pèsent sur les systèmes industriels par exemple. Nous assisterons également à une cyberdiversité croissante des applications et des gadgets, ainsi qu’à une parcellisation de l’écosystème Internet.
La cybersécurité pose à la fois des défis juridique, géopolitique, technique et culturel. Pour lui, il faudra que les services de sécurité soient, à l’avenir, totalement intégrés et que l’utilisateur n’ait plus à s’en préoccuper.
« Malicious Flash Crash Attack » : la Bourse en danger ?
Robert Erra, Docteur en Informatique - ESIEA Paris, s’est, quant à lui, plus particulièrement intéressé à une nouvelle forme d’attaque, appelée « Malicious Flash Crash » et aux effets dévastateurs qu’un tel phénomène pourrait avoir.
Pour mieux comprendre ce phénomène, revenons quelque peu en arrière, plus précisément le 6 mai 2010. Peu après 14h, l’indice S&P du NYSE perd en quelques minutes 10% ; plusieurs actions voient leur cours proposés à un penny (Accenture, Procter & Gamble), tandis qu’une action grimpe à 100 000. La SEC (Securities and Exchange Commission) décide en fin de journée d’effacer purement et simplement environ 25 mn de transactions : c’est ce que l’on appelle le Flash Crash ou le Crash Éclair.
Pour Robert Erra, cela a été possible essentiellement à cause de trois phénomènes :
– L’apparition des algorithmes de High Frequency Trading (HTF). Plus de 50% des transactions au NYSE et de programmes les implémentent à l’heure actuelle.
– L’utilisation de faux ordres de vente (ou d’achats) d’actions pour « pourrir » les données des concurrents. Généralement annulés après quelques millisecondes. Ce procédé est totalement légal (à part le NYSE qui l’a interdit). Cela s’appelle le Quote Stuffing (ou Stub Quote) : « bourrage de cotations ».
– L’utilisation intensive des réseaux pour réaliser massivement et rapidement le Quote Stuffing.
Les connaisseurs en sécurité informatique auront reconnu dans le Quote Stuffing une forme nouvelle de DoS, un Déni de Service d’un type nouveau : le Déni de Service Financier (FDoS) légal dans de nombreuses places boursières.
Pour lui, nous pourrions bientôt voir apparaitre une nouvelle forme d’attaque : le « Crash Éclair Malicieux », ou « Malicious Flash Crash Attack », avec une variante totalement légale et une autre variante totalement illégale.
– Dans le cas d’une variable légale, il estime le coût entre 100 millions et un milliard de dollars. Le schéma de ce scenario reposerait sur les étapes suivantes : créer une dizaine de sociétés de HFT, les placer dans plusieurs pays, attendre un « jour creux », et attaquer 10 secondes avant la fermeture.
– Dans le cas d’une variable illégale, il suffirait aux attaquants de prendre le contrôle des réseaux des 10 plus grandes compagnies de HTF. Ils disposeraient alors d’un HFT Botnet. Puis, comme précédemment, il leur suffirait d’attendre un « jour creux », et d’attaquer 10 secondes avant la fermeture.
Peut-on se protéger conter ce type d’attaques ? « A moins de ralentir les réseaux utilisés pour ces transactions bancaires et d’interdire purement et simplement la pratique du Quote Stuffing, et en espérant que les algorithmes de HTF ne soient pas trop mal programmés, il semble difficile d’éliminer à 100% le risque de voir le NYSE s’écrouler en quelques minutes suite à un Crash Éclair Malicieux » conclut-il.
L’informatique repose sur 3 fonctions fondamentales : le calcul, le stockage et la communication
Pour sa part, Michel Riguidel, Professeur émérite à Télécom ParisTech, compare l’évolution d’Internet à celle des langages informatiques. Pour lui, une rupture technologique s’effectue en 3 phases :
– un enrichissement, une complexification pour répondre à un nouveau besoin,
– une évolution par fragmentation, balkanisation,
– un saut conceptuel : le modèle ancien meurt, remplacé par un nouveau modèle.
Le Web suit ce même cheminement, un approfondissement et un élargissement, puis des déchirements : en 1985, l’unique tableau bleu ; en 1991, les pages Web ; en 2006, la syndication des flux du Web 2.0… Il y aura sans doute une nouvelle fracture, autour des smartphones. La cryptographie elle aussi aura sans doute besoin d’une nouvelle fragmentation.
L’informatique repose, selon lui, sur trois fonctions fondamentales : le calcul, le stockage et la communication. Il faut toujours regarder ces trois aspects et ne jamais en excommunier un. Si vous voulez parler de neutralité, il faut le faire sous ces trois aspects là. Il faut voir la neutralité informatique dans son ensemble ; seulement dans le schéma actuel, la neutralité telle qu’elle est envisagée affaiblit l’aspect communication. Michel Riguidel préconise non pas une neutralité des réseaux mais une neutralité de l’informatique.
Nous assistons aujourd’hui à une crise de calcul. La fonction de calcul est passée dans le secteur privé. La cryptologie a changé de visage et évolue vers une prise de contrôle des utilisateurs. Avant, seuls les gouvernements avaient ce pouvoir, maintenant ce n’est plus le cas, grâce à la mise en place de VPN par exemple.
Enfin, comme il le rappelle, Internet c’est avant tout des machines de Turing qui marchent en parallèle. Pour lui, sécuriser les données ne sert pas à grand-chose si vous ne connaissez pas les logiciels qui traitent ces données. La signature d’un fichier ne sert donc à rien si vous ne savez pas quel programme le manipule.
Michel Charron et Mauro Israel
Le centre de gravité d’Internet est en train de changer
Pour Michel Charron, Architecte et expert en télécommunications et systèmes d’information sécurisés, la fin d’Internet tel qu’on le connaît, c’est déjà aujourd’hui : des TIC toujours plus mobiles, puissantes, enfouies, furtives et banalisées dans des objets connectés ; de plus en plus d’internautes, donc plus de machines zombies potentielles ; des attaquants transnationaux ayant plus de compétences et de moyens ; et des attaques plus sophistiquées et dangereuses. La transnationalité, associée à la mobilité et à la furtivité, engendre le plus souvent l’impunité. L’ensemble des mesures permettant d’arrêter les attaquants est aujourd’hui sous-dimensionné.
Le centre de gravité d’Internet est en train de changer, souligne-t-il. Les réserves d’Internet ne se trouvent pas dans les pays occidentaux. En effet, la marge de progression des internautes se situe à l’est. La France représentera, en 2015, moins de 2% des internautes. En 2015, Internet devrait être à 45% asiatique, 30% occidental et 25% pour le reste du monde. Il sera multilingue ou fractionné par zones selon les accords à venir.
En 2015, il sera globalement moins sûr :
– au niveau IP car plus diffus, sur un mixte d’IPv4 et d’IPv6,
– au niveau du nommage : DNS reste le talon d’Achille de l’Internet,
– au niveau des services classiques à cause de la transnationalité,
– enfin, au niveau des services W3C à cause de la porosité des protocoles,
– Internet sera, en outre, prétexte à des politiques sécuritaires.
Le Web va se fragmenter selon plusieurs lignes de « failles », par métaphore sismique :
– des web « régionaux », voire « continentaux », à l’instar de la Chine,
– des web « linguistiques », où l’on pourra utiliser toute la puissance de sa langue maternelle pour exprimer une recherche, une adresse email,
– des webs « culturels » qui embarqueront ou non des web sectaires et/ou ethiques,
– des webs « fermés », sécurisés, anonymisés, plus ou moins cachés selon les objectifs suivis par les promoteurs et /ou utilisateurs,
– des webs commerciaux, sur base « navigation » et /ou activité sociétale, au service du ciblage/marketing comportemental.
La sécurité passe par la sensibilisation des utilisateurs
Pour Mauro Israel, Expert en sécurité des systèmes d’information, Internet s’apparente au réseau routier : selon les régions, les pays, les routes sont plus ou moins bonnes. Les voitures, elles aussi, sont très différentes les unes des autres, mais ce n’est pas ce qui les empêche de rouler. Internet aurait donc, au même titre que les réseaux routiers, juste besoin d’un code de la route.
Parmi les principaux problèmes de l’Internet 2.0, il souligne :
– les utilisateurs ne connaissent pas les risques,
– c’est branché d’être connecté tout le temps,
– un problème générationnel : les générations « Y » et « C » ne se posent même pas la question, tandis que les générations « BB » et « X » sont inquiètes. Pour la génération « Y », l’Internet 2.0 est un acquis, pour la génération « C », Internet est une addiction.
La vitesse est, selon lui, le critère principal déterminant de ce qui va se passer dans le futur. En seconde position vient l’amusement. Nous sommes dans un monde de services, qui nécessite des consolidateurs de services (rapprochement entre des besoins et des offres). En la matière, les grands gagnants sont les moteurs de recherche et les réseaux sociaux, car ils permettent ce rapprochement entre le besoin et l’offre.
Tout système connecté à Internet est atteignable en moins d’une ½ seconde, donc il est sûr qu’on ne peut pas le laisser en l’état. Il faut, selon lui, se concentrer sur les attaques qui pourraient anéantir Internet, telles que le craquage des mots de passe Windows, le sniffing WiFi, l’interception de mots de passe en clair, l’interception de sessions cryptées avec de faux certificats, le scanning Bluetooth des téléphones, et les Advanced Persistant Attacks.
La solution serait, en outre, de mettre le paquet sur l’éducation et la sensibilisation. Il faut parfois oublier la technique. Si on sensibilise davantage les internautes aux bonnes pratiques, on sera plus sécurisé qu’avant.
10 commandements sécurité, selon Mauro Israel :
– 1. Ne jamais laisser un téléphone avec le Bluetooth activé,
– 2. Ne jamais se connecter à Internet en clair dans un lieu public,
– 3. Ne jamais accepter un certificat émanant de source inconnue,
– 4. Ne jamais taper son login/password dans un lieu public,
– 5. Ne jamais télécharger et installer un programme à partir d’une source inconnue,
– 6. Opter pour un mot de passe solide (au moins 8 caractères, avec un caractère spécial à la fin),
– 7. Toujours chiffrer le disque d’un ordinateur portable,
– 8. Toujours chiffrer les clés USB et les disques durs amovibles,
– 9. Toujours avoir un antivirus à jour,
– 10. Enfin, toujours mettre en œuvre les correctifs de sécurité.
Internet : aussi insubmersible que le Titanic
Pour conclure, les différents experts estiment qu’Internet est aussi insubmersible que le Titanic. Donc, bien évidemment, à un moment ou un autre, quelqu’un trouvera un moyen de submerger Internet. Eteindre Internet dans son ensemble n’est pas impossible. Toutefois, cela nécessiterait la coordination de différents acteurs sur le long terme. L’éteindre dans un pays, une région ou certaines zones reste, à ce jour, plus concevable.