vendredi , 26 mai 2017
Au lendemain de la cyberattaque mondiale avec le logiciel  » WanaCry  » : Une approche de la sécurité à… pleurer

Au lendemain de la cyberattaque mondiale avec le logiciel  » WanaCry  » : Une approche de la sécurité à… pleurer

La cyber-attaque mondiale  » WanaCry  » met en lumière les mauvaises pratiques de sécurité informatique suivies notamment par la NSA.

Le toute récent cyber attaque du ransomware wanacry a atteint un niveau sans précédent : alors qu’elle n’est pas finie (on peut craindre que diverses mutations de ce virus causent de nouveaux dégâts dans un futur proche) elle illustre parfaitement plusieurs problématiques autour de la cyber-sécurité et montre combien ces dernières sont à la fois cruciales et extrêmement complexes à gérer. L’attaque  » WannaCry  » dont les effets se sont répandus le 12 mai est à ce jour inédite. Des services hospitaliers du NHS anglais (certaines opérations ont du être reportées) aux sites industriels (qui se retrouvent à l’arrêt) en passant par le ministère de l’Intérieur de la fédération de Russie, les estimations de dommages sont encore parcellaires mais indiquent déjà des centaines de milliers de victimes dans plus de 150 pays. Le principe de cette attaque est un classique de la sécurité informatique. Il s’agit pour le pirate de crypter vos données et d’exiger une rançon en échange de laquelle il vous promet de vous fournir la clef permettant de retrouver vos données. Ce type de menace, ainsi que la manière de s’en protéger (faire des sauvegardes de ses données, maintenir son système à jour, ne pas suivre de liens étranges ou répondre à des mails suspects), sont usuels. Ce qui ne l’est pas, ce sont la technique utilisée (une faille du système Windows) et la dimension mondiale de l’attaque qui montrent bien que, dans le domaine de la cyber-sécurité, tout a changé. raditionnellement, la cyber-sécurité était vue au travers du prisme historique de la cryptographie. Le film The imitation game en donne une bonne illustration en montrant comment a été cassé le code Enigma utilisé par les forces allemandes durant la seconde guerre mondiale. Le problème était relativement simple dans le sens où il était bien délimité : casser le code Enigma demandait un certain génie mathématique et technique, mais au moins on savait quels étaient les tenants et les aboutissants du problème. Aujourd’hui, une telle approche ne suffit plus. Ainsi que le souligne l’expert en sécurité Scott Andersson, le problème est que quasiment tout est interconnecté aujourd’hui. Ainsi il se peut que votre téléviseur, connecté sur internet, communique avec votre smartphone, lui aussi connecté sur internet, en utilisant des ultrasons (donc même s’ils ne sont pas interconnectés) : la télévision émet les ultrasons que votre téléphone récupère avec son micro, le tout à votre insu. Les systèmes ne sont plus isolés les uns des autres mais en permanence inter-connectés, utilisant des myriades de protocoles inter-agissant les uns avec les autres. Avoir un système sûr est suffisamment compliqué ; assurer la sécurité dans un monde où chaque interface entre deux systèmes est un point faible susceptible d’être potentiellement utilisé devient dantesque.

SYMÉTRIE DE LA GUERRE CYBERNÉTIQUE
À cette évolution fondamentale, où, en plus de la cryptographie, il faut considérer la cyber-sécurité à l’aune de réflexions de type économique (théorie des jeux), psychologiques (les pirates utilisent des ressorts psychologiques vous conduisant à cliquer là où vous ne devriez pas le faire) et sociales (manipuler les utilisateurs pour induire un comportement plus sûr de leur part), s’ajoute l’empowerment extraordinaire des particuliers depuis quelques années. La célèbre citation de Samuel Colt :  » Dieu a fait des hommes grands et d’autres petits, je les ai rendu égaux « , s’applique parfaitement aux nouvelles technologies de l’information et de la communication. Les individus n’y sont pas nettement inférieurs aux acteurs étatiques. L’attaque WanaCry a vraisemblablement été menée par une équipe restreinte de pirates. Ils ont réussi à mettre à genoux le NHS, le cinquième plus grand employeur du monde ainsi que de nombreuses agences d’État (dont apparemment le ministère russe de l’Intérieur). Il y a là une leçon importante à retenir : la symétrie intrinsèque des technologies de l’information et de la communication (TIC). En effet, si les armes traditionnelles demandent une infrastructure perfectionnée que seuls les États peuvent s’offrir (et encore, on le voit bien dans le cas de nombreux pays, obtenir l’arme nucléaire est extrêmement complexe, même pour des acteurs étatiques), il n’en est pas de même dans le monde des TIC où c’est véritablement l’intelligence qui fait la différence : à la limite tout ce dont a besoin un pirate c’est d’accéder au réseau (via son téléphone ou un poste en libre service dans une bibliothèque municipale) et ensuite il peut théoriquement prendre le pouvoir sur des machines puissantes qu’il utilisera à son bénéfice. Ainsi, même si cette image est exagérée, il est possible de lutter à armes quasiment égales avec la NSA. Pour cela, il suffit juste d’être très malin, et d’avoir un accès à internet. Malheureusement, WanaCry est la chronique d’un désastre annoncé : depuis longtemps les experts en cyber-sécurité (là et là par exemple) ont mis en garde contre la NSA et ses pratiques douteuses. C’est en effet en utilisant des armes développées par cette dernière que l’attaque a été rendue possible. Le fait que cette agence dont le but officiel est de protéger les utilisateurs (en théorie les Américains mais en réalité le reste du monde, étant donné l’influence majeure des Étatsunis dans ce domaine) parait paradoxal, mais seulement en apparence, si l’on prend en compte la symétrie inhérente aux TICs. Il faut comprendre que ce qu’on nomme une arme dans le domaine cybernétique n’est rien d’autre qu’une faiblesse, une faille, qui permet à la NSA de s’introduire dans un système. La NSA a mis en place une politique NOBUS (NObody But Us, personne à part nous), consistant à collecter ses failles de manière secrète, c’est-à-dire en ne prévenant pas les entreprises impactées (en l’occurrence Microsoft) dans l’espoir de les utiliser à son propre profit. Mais rien n’empêche quelqu’un d’autre d’utiliser ces failles. Le fait qu’une arme se retourne contre son créateur est commun dans ce domaine (l’exemple des écoutes grecques de 2004 en est une illustration frappante). En matière de sécurité, et qui plus est dans le monde des TIC, il n’existe pas de solution magique. Toute solution de sécurité est un compromis entre ce qu’elle coûte et ce qu’elle rapporte ; comme au judo, il faut avoir conscience que votre adversaire peut utiliser votre propre force contre vous. Il existe cependant de grands principes qu’on peut suivre. Par exemple, le principe de Kerckhoffs : il consiste à supposer que votre adversaire connaît toutes vos procédures, et que la sécurité de votre système ne doit reposer que sur la seule connaissance d’un unique secret (typiquement la clef de décryptage). Si ce principe n’est pas une panacée, ne pas le suivre conduit irrémédiablement à la catastrophe. Les solutions sont complexes mais ce n’est pas en refusant de reconnaître que nous vivons dans un monde ouvert, où la meilleure défense n’est pas l’obscurité mais la lumière (qui permet la critique et l’amélioration continue des systèmes), qu’on résoudra quoique ce soit. Finalement, cette affaire entre de manière étonnante en résonance avec notre actualité politique et montre combien la tentation du repli sur soi n’offre rien d’autre que l’illusion de la sécurité.
R.N.

Répondre

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués d'une étoile *

*