2014, l’année des pirates : le seul moyen de se protéger est-il de cesser d’utiliser tous les moyens de communication modernes ?

Atlantico : Quoi qu’on écrive, quoi qu’on enregistre, tout peut être retrouvé sur internet un jour ou l’autre, comme est venu le rappeler le piratage de la société Sony. La possibilité d’une communication numérique 100 % sécurisée est-elle illusoire ? N’a-t-on d’autre choix que de revenir à "l’âge du papier" ?

Fabrice Epelboin : C’est en réalité bien plus complexe. La transmission d’information dans un réseau comme internet passe par sa duplication tout au long de relais, de son emmeteur à son destinataire. Un intermédiaire peut parfaitement en garder une copie, l’intercepter, à diverses fin utiles, comme la surveillance de masse des populations ou l’espionnage industriel. Du coup, oui, une information qui à un moment a été sur internet peut y être retrouvé par la suite et l’effacer n’est pas chose aisée, c’est même souvent parfaitement impossible.

Pour ce qui est de Sony, le problème est tout autre. Il s’agit là d’une déficience en matière de sécurité de la part de Sony, qui a permis, en 2011 puis plus récemment, à un ou des groupes de hackers de pénétrer le réseau informatique interne de l’entreprise et d’y dérober des documents. Dans le cas de l’attaque récente - faussement attribuée à la Corée du Nord - les hackers ne se sont pas contentés, comme en 2011, de dérober puis de rendre public des documents, ils en ont également détruit.

>> Lire également 2014, l'année des pirates : quand l'Etat essaie de faire face mais passe largement à côté du problème

Les hackers ont - entre autre - utilisé pour cela un malware (BKDR_WIPALL) qui a servi par la suite au FBI à construire l’accusation contre la Corée du Nord au prétexte qu’il avait été utilisée auparavant contre des banques de Corée du Sud, et en se gardant bien de révéler au public qu’il avait également été utilisé contre Aramco, une companie pétrolière Saoudienne sans le moindre rapport avec la Corée du Nord, et que ce genre de malware est mis en vente sur des places de marchées underground depuis pas mal de temps. Bref, cela ne prouve absolument rien - cette accusation est tout aussi crédible que celle qui consistait naguère à affirmer, une fiole d’antrax à la main dans une assemblée des Nations Unis, que Saddam Hussein détenait des armes de destruction massives et un programme nucléaire qui se sont avérées parfaitement imaginaires et servant à construire une accusation légitimant l’invasion du territoire irakien.

Pour revenir à Sony, et plus généralement à la problématique que cela soulève sur la sécurité dans le monde des technologies, la possibilité d’une communication 100% sécure, que ce soit pour Sony ou pour la CIA - dont certain document internes viennent d’être publié par Wikileaks - est un leurre. La sécurité à 100% cela n’existe pas, c’est un concept, un objectif, rien de plus. Tous les système informatiques ont des failles, et pour les entreprises, elles sont la plupart du temps multiples, du fait de décénies durant lesquelles ces problèmes n’ont pas été pris au sérieux et ne se sont pas vu attribuer les budgets necessaires. Cela s’est combiné à une gestion RH des ressources informatiques désastreuse, qui n’a jamais anticipé le transfert de pouvoir considérable en faveur de la chose technique que nous connaissons de nos jours, et qui encore aujourd’hui ne l’a toujours ni compris ni intégré à sa politique RH. Dit autrement, réfléchissez avant de sous payer et de licencier de façon violente un administrateur réseau dont le salaire n’exède par une fois et demi le smic, car cette personne peut plonger votre entreprise dans un chaos comparable à ce que connait Sony. La plupart des DRH n’ont pas conscience de cela. Prenez au sérieux un turnover important au sein de votre personnel technique, car il est synonyme d’une accumulation de faille de sécurité dont on perd la trace, de connaissances sur celles-ci qui quittent l’entreprise, et d’ex salariés en possession de ces connaissances qui pourraient se retourner contre vous d’une façon qui feront passer le pire des épisodes aux prudhommes pour un incident sans importance.

Cependant, revenir à l’âge du papier n’est pas une option pour une entreprise, cela aurait un impact considérable sur sa productivité et la mettrait à la merci de la concurrence. Son cours de bourse s’effondrerait, elle se verrait incapable de faire face à la charge de travail à laquelle elle fait face habituellement, et elle se retrouvera paralysée rapidement. Il est certain cependant que nous entrons dans une époque où la sécurité IT est un élément tout aussi critique que le fait d’être correctement couvert par une assurance pour une entreprise.

Les dirigeants d’entreprises ne peuvent plus faire l’impasse sur une compréhension fine de cette problématique, sous peine de se retrouver tôt ou tard totalement désemparés, dans la même situation que Sony. Il n’est pas question pour eux de comprendre la chose technique en tant que telle - il y a des spécialistes pour cela - mais sont impact potentiel, le poids que cela a dans le monde contemporain, la relation avec l’évolution politique du monde actuel, etc. Un dirigeant d’entreprise qui fait l’impasse sur cela est parfaitement irresponsable.

Il existe des solution pour faire face à ce type de problème, qui consiste à minimiser les failles de sécurité en mettant en place une approche réaliste de la sécurité IT, à laquelle les plus haut dirigeants de l’entreprise doivent être associés en pleine connaissance de cause, et à préparer un plan d’urgence aussi bien sur le plan technique que sur le plan de la communication.

A la suite de l’attaque contre Sony, les employés se sont retrouvés obligés de revenir temporairement au bon vieux fax. Sans le vouloir, ont-ils (re)trouvé la seule manière d’échanger des informations de manière sécurisée ? Les entreprises auraient-elles intérêt à privilégier ce type de communication pour protéger certaines informations jugées stratégiques ?

L’idée qu’un fax soit plus sécure qu’un sms, un email ou un quelconque échange électronique est parfaitement fantaisiste. Cela n’a absolument rien de sécure. Dans le cas de Sony, cette solution n’a pas été adoptée en dernier recours parce qu’elle était sécure mais parce que toutes les autres possibilités de communication étaient bloquées par les hackers.

Privilégier ce type de communication n’assurera en rien la sécurité de quoi que ce soit, un fax, comme tout autre communication de nos jours, laisse des traces eletroniques qui peuvent être interceptées et surveillées, aussi bien par des services de renseignement que par des hackers, par contre, revenir au fax est certain de faire chuter de façon drastique la productivité de votre entreprise. Si vous êtes dans un marché concurrentiel, c’est synonyme de mort à court terme de votre entreprise.

L’objectif de la confidentialité est certes louable, mais le monde d’aujourd’hui fonctionne sur la base de l’immédiateté. Comment combiner la nécessité de protéger les informations, avec celle de communiquer rapidement au travers des mails, des chats et des plateformes de partage de fichiers ?

La seule solution envisageable pour renforcer de façon conséquente la confidentialité, que ce soit sur des communication de l’ordre de l’immédiateté ou non, c’est le chiffrement des communications. Ca se complique quand ont sait, à la lumière des révélations d’Edward Snowden, que bon nombre de techniques de chiffrement sont biaisées et peuvent être aisément déchiffrées par les services de renseignement. Les services Français sont ainsi connus pour être parmi les meilleurs pour déchiffrer les communications cryptées.

Ca se complique également quand on sait qu’il existe quantité d’outils - que l’on va classer à la va vite dans la catégorie des spywares - qui s’installent à votre insu sur votre machine ou votre téléphone (quand ces derniers ne sont pas carrément vendu avec ces spyware préinstallés) ou sur une imprimante réseau, et qui interceptent vos communications avant même que vous ne les ayez chiffré ou après que vous les ayez déchiffré. Bref, c’est loin d’être simple, et une fois de plus, vous ne pouvez pas faire l’impasse sur une compréhension fine du problème pour y remédier.

La chose la plus importante à retenir c’est qu’il n’existe pas et il n’existera jamais de solution qui fonctionne en un clic.

Aujourd’hui nous n’envisageons pas de perdre la trace des données échangées, notamment pour ce qui concerne les mails. Pourtant Snapchat, l’application consistant à échanger des photos et des vidéos qui disparaissent des serveurs au bout de quelques secondes, n’ouvre-t-il pas des pistes de réflexion à ce sujet ? Est-il temps d’accepter de passer à "l’internet effaçable" ?

Pourtant, Snapchat a connu une importante faille de sécurité il y a peu de temps qui a permis d’accéder à quantité de données produites pas ses utilisateurs, preuve que la promesse de l’entreprise d’un internet qui s’efface est de l’ordre du mensonge. Tant que vous ne maitrisez pas les technologies que vous utilisez, vous en serez réduit à faire confiance, et faire confiance à une entreprise qui vous fournit un service gratuitement sans vous demander la moindre contrepartie relève de la stupidité combinée à une bonne dose de naïveté.

Vous même, savez vous réellement “effacer” une information sur le disque dur de votre ordinateur ? Savez vous ce qu’est un formatage “bas niveau” ou un effacement “sécurisé” ? Si pour vous effacer une information consiste à glisser un fichier sur la corbeille du bureau de votre ordinateur puis à “vider la corbeille”, sachez qu’un adolescent débrouillard saura récupérer ce fichier sans problème.

Un internet “effaçable” est une concept assez étrange d’un point de vue technique. Ca n’a pas plus de sens que l’idée de “louer un film” sur internet. La transposition de concepts venus du monde réel au cyber n’est pas toujours faisable, parfois ça donne des idées loufoques qui n’ont pas le moindre sens technique, et sur lesquelles de grands dirigeants d’entreprises engagent l’avenir de leurs sociétés. La location, par exemple, n’a pas de sens dans la mesure où, dans un réseau, transmission, échange, vente, don, ou location se résument à une seule et même opération technique qui consiste à copier un fichier. Le cyber ne connait pas toutes ces nuances liées au monde réel. Vouloir les discerner crée un hiatus à l’origine de nombreux problèmes d’adaptation d’entreprises du XXe siècle au monde contemporain, et mènera bon nombre d’entre elles au cimetière si elles ne se décident pas à comprendre réellement ce qu’il se passe, et comme cela se passe dans le cyber.