Pas de grand complot mondial... mais des risques bien réels : le rôle très important du facteur humain dans la sécurité informatique"

Les cyberattaques peuvent être motivées par de très nombreux facteurs. Ils vont de la tentative plus ou moins réussie de tester ses premiers scripts glanés sur le web jusqu’à la création d’outils complexes et puissants tels que Stuxnet. Dans chaque cas, une valeur est associée à l’action – et une perte de valeur à celui qui la subit. Cela ne signifie pas pour autant que complexité et valeur soient proportionnelles : une attaque relativement facile à exécuter peut coûter très cher. Et le prix que l’on paie n’est pas nécessairement exprimé de façon sonnante et trébuchante. En effet, une entreprise peut se voir aussi bien compromise financièrement qu’aux yeux de la justice (voir par exemple le cas d’ACS:Law dans le chapitre 02), ou encore auprès de ses clients. Ce dernier cas est probablement le pire, car regagner la confiance perdue est probablement le plus difficile. Ainsi, le prix d’une bonne sécurité n’est pas nécessairement celui d’un audit de sécurité des systèmes informatiques. Cette remarque vaut bien évidemment pour tous les acteurs concernés.

En 2017, à peu près tous les médias incluent des « actus » sur des problèmes de sécurité informatique dans leur couverture éditoriale. Il est appréciable de voir ces informations communiquées au plus grand nombre : la sécurité est affaire de tous. Même si, le plus souvent, le traitement médiatique de ces sujets est liminaire et flou (pour le dire poliment).

Cette réserve mise de côté, on observe que les intrusions et compromissions reflétées dans ces actus sont très nombreuses et de plus en plus complexes. L’élément monétaire y est de plus en plus présent également, mais surtout, le lien direct entre notre vie « hors ligne » et celle « en ligne » est tellement fort que les répercussions d’une cyberattaque peuvent être graves et réelles. Votre téléphone intelligent fait tout un tas de choses et permet accessoirement d’appeler ; il donne aussi votre emplacement même si vous avez désactivé la géolocalisation via un bouton dédié. Eh oui, vous pensez que la connexion au réseau téléphonique ou 4G se fait « automagiquement » ? Bien sûr que non : le téléphone se connecte aux antennes environnantes, transmettant ainsi des informations sur son emplacement, donc le vôtre. En outre, les applications que l’on y installe ont des listes de « permissions » que vous devez leur accorder en amont de l’installation. Ces « permissions » sont de plus en plus abusives. Par exemple, une application faisant de la photo vous demande l’accès en lecture et écriture à vos SMS ou à votre agenda : pour quoi faire ? On peut lui donner l’accès à la caméra et à un répertoire pour y stocker les photos effectuées, mais pas l’autorisation de faire le café à notre place. Ainsi, trop souvent, les demandes de beaucoup d’applications sont abusives. Cependant, on clique sur le petit bouton vert « Accepter », et on n’y pense plus.

On pourrait consacrer trois cents pages supplémentaires à la question des données personnelles et leur privatisation croissante par de nombreux et divers acteurs privés. Pour l’instant, concentrons-nous sur l’idée que nous sommes vulnérables et qu’au lieu de tomber dans la psychose ou de se détourner de ce fait, on ferait mieux d’y remédier du mieux qu’on peut. Le lien quasi intime entre le numérique et notre quotidien le requiert.

Se dire qu’on n’est pas concerné parce qu’on n’a pas de compte Facebook/comptejeuxvideos.com/rayer l’inutile revient à faire l’autruche : l’administration française souhaite collecter des données biométriques personnelles de tous ses citoyens pour « faciliter » la fabrication de pièces d’identité25. Or, des audits de la part d’institutions publiques sollicitées telles que l’ANSSI et la DINSIC concluent que le système envisagé pour la conservation de ces mêmes données ne donne pas les garanties nécessaires quant à la sécurité des systèmes en oeuvre26. En moins verbeux et langue de bois : les 60 millions de citoyens français que l’on obligera à donner leurs données biométriques personnelles peuvent voir la base de données idoine compromise plutôt facilement15. Il en est de même avec les dossiers médicaux partagés à venir : il s’agit d’y stocker des données personnelles très sensibles, mais quelles seraient les conséquences d’un problème d’accès ou d’une compromission ?

La sécurité informatique n’est pas seulement une question technique. La sécurité informatique exige surtout une approche multidisciplinaire où la compétence technique est requise mais où vous, l’utilisateur, n’avez pas besoin d’un diplôme d’ingénieur en la matière pour vous protéger d’une bonne partie des menaces. Ce qui nous ramène à la discussion fondamentale du modèle de menaces qui aide à savoir quels risques vous seriez plus susceptible de courir et quelles sont les approches les plus optimales pour les prévenir.

Tout cela a l’air un peu abstrait, alors soyons concrets :

- Vous êtes cadre sup’ dans une équipe R&D (Recherche et développement). Vous prenez le TGV et travaillez sur un projet important. Pour être alerte, vous allez vous chercher un café au wagon-restaurant du train. Que faites-vous de votre ordinateur ? Faites-vous comme beaucoup de gens et laissez-vous votre ordinateur ouvert, voire avec une session ouverte et le document clairement visible aux autres voyageurs ? Situation à risques.

- Vous êtes du genre à ramener du boulot à la maison. Avez-vous une clé USB dédiée ? Si oui, est-elle chiffrée ? La gardez-vous bien rangée, loin des affaires semblables familiales (clés USB avec les photos de vacances, etc.) ? Si vous avez répondu « non » à au moins une de ces questions, on doit se parler sérieusement.

- Vous voyagez beaucoup et notamment avec l’ordinateur que votre entreprise vous fournit. Allez-vous dans des pays exigeant d’avoir accès aux informations stockées sur vos machines ? Avez-vous pensé à demander à votre service informatique de chiffrer l’ordinateur en question ? L’avez-vous déjà oublié quelque part (un café, un aéroport, une gare) ?

- Vous recevez beaucoup d’e-mails dans le cadre de votre travail ou de vos études. Cliquez-vous sur toutes les pièces jointes, même si elles ne viennent pas nécessairement de collaborateurs ou collègues que vous connaissez bien ?

- On peut évoquer la gestion du badge (notamment celui avec une puce RFID qui permet d’ouvrir les portes dans un bâtiment où l’accès au public n’est pas autorisé ou sur présentation d’une pièce d’identité seulement) ; la clé USB « perdue » que l’on ramasse et met sur l’ordinateur pour voir à qui elle appartient ; les photos prises sur le lieu de travail et postées sur les médias sociaux où on peut voir vos collègues, des mots de passe sur post-it collés ici et là, etc.

On le voit bien : inutile de tomber dans des histoires angoissantes de grand complot mondial pour s’appercevoir que le facteur humain joue un rôle très important dans la sécurité informatique. Dans les pages suivantes, nous parlerons de plusieurs aspects significatifs incluant – mais pas seulement – la technique : phishing (ou hameçonnage), ransomware (ou rançongiciel) et ingénierie sociale. On prendra enfin le cas du prétendu « hacking » russe des élections américaines pour illustrer les difficultés se posant face à un enquêteur numérique. Avant de s’y attaquer cependant, parlons de ce qui est communément appelé un modèle de menaces.