Pourquoi 2015 sera l’année des failles de sécurité en ligne massives (et personne ne s’en préoccupe vraiment)

Atlantico : Des pirates ont fait irruption dans les systèmes informatiques de JPMorgan Chase et ont subtilisé noms et coordonnées de 83 millions de ménages, ainsi que de petites entreprises. Ce n'est pas là un cas isolé, puisque d'autres compagnies ont également été touchées (Home Depot et TJ Maxx, Target et Michaels). Quels ont été la nature et le volume des cyberattaques sur l'année 2014 ?

Guillaume Tissier : Le coût de la cybercriminalité, c'est à dire les pertes et le manque à gagner qu'elle entraîne, s'élève à environ 350 milliards par an selon une récente étude américaine. Et il ne s'agit que d'estimations très imparfaites. D'une part parce qu'elles recouvrent des attaques ayant des finalités très différentes : on peut distinguer les escroqueries, l'espionnage et le vol d'information, l'hacktivisme (qui consiste par exemple à "défacer" un site ou à le perturber par des attaques dites en déni de service), les sabotages. D'autre part, parce que l'on ne voit que la partie visible de l'iceberg. En effet, n'apparaissent dans ces statistiques que les attaques qui ont été détectées par les moyens de protection et de surveillance mis en place par les entreprises, ou, en l'absence de ceux-ci, quand les effets de l'attaque sont devenues visible au grand jour. Ainsi, une très large part des attaques, notamment celles ayant pour objectif le vol d'informations, restent méconnues, y compris de leur cibles. On a coutume de dire que pour une entreprise, la question n'est pas de savoir si elle a été attaquée mais quand elle l'a été ou quand elle le sera.

Une intensification et une diversification de ces dernières sont-elles à prévoir sur l'année 2015 ?

Les cyber attaques vont clairement continuer à progresser en 2015 et dans les années suivantes. Le phénomène est mécanique. Il est lié à quatre facteurs. Le premier, c'est l'omniprésence de l'informatique et le développement de l'Internet des objets. On devrait avoir 50 milliards d'objets connectés en 2020. Les voitures sont un bon exemple. On a déjà eu un cas en 2010 d'un employé d'une concession américaine qui a immobilisé une centaine de voitures en accédant à distance à un dispositif utilisé en cas de non paiement des mensualités par les propriétaires. Le second facteur, c'est le développement exponentiel de la quantité de données produites (big data) et potentiellement accessibles. On risque donc fort de voir se multiplier les vols d'information massifs. Le troisième, c'est la transformation numérique qui se traduit par la dématérialisation progressive de très nombreuses activités. Il s'agit d'une fantastique opportunité, mais cela génère de nouveaux risques. Prenez par exemple ce que l'on appelle les arnaques à la présidence qui se sont multipliées ces derniers mois. Ce sont des escroqueries basées sur du social engineering, c'est à dire qu'elles exploitent d'abord des vulnérabilités humaines ou organisationnelles. Une fausse demande de virement est envoyée à une entreprise qui s'exécute, croyant répondre à une demande urgente de son président. Mais ces arnaques ne sont souvent possibles qu'en raison du piratage du système d'information, voire du réseau téléphonique de l'entreprise. Le quatrième facteur, enfin, c'est l'attractivité de la cybercriminalité par rapport à des formes de criminalité plus classiques. Les risques encourus sont moindres à cause de l'anonymat que permet le cyberespace, du caractère transnational du réseau et de la nature distribuée des infractions : il ne s'agit plus de commettre un hold-up à un million d'euros mais de dérober un million de fois un euro. Pour la criminalité, c'est donc aussi "l'âge de la multitude", pour reprendre le titre d'un livre d'Henri Verdier et de Nicolas Colin qui annonce, après la révolution numérique, le troisième âge du capitalisme.

Des attaques ciblées sur des sites à risque (centrale nucléaire, barrage, etc.) sont-elles possibles ? Un cyber-chantage à l'Etat est-il envisageable ?

La sécurité des systèmes de contrôle et de supervision (appelés systèmes SCADA) qui contrôlent de très nombreux automatismes, notamment chez les opérateurs d'infrastructures vitales (énergie, transport...), est une priorité absolue. Ces outils sont en effet de plus en plus connectés, ce qui les rend vulnérables. Rappelons nous de Stuxnet et de l'infection par un malware des centrifugeuses iraniennes, a priori via une simple clé USB. Quant au chantage, c'est effectivement une tendance lourde en matière d'attaques informatiques.  Un pirate crypte vos données avec un ransomware ou vous bloque l'accès à celles-ci et vous demande ensuite de l'argent pour vous les restituer. On ne peut donc écarter dans l'absolu des attaques visant à perturber ou à paralyser des infrastructures sensibles, ou des cyber-chantages à un État. A la fois parce que certains groupes peuvent en avoir la volonté et parce que les capacités techniques existent. C'est la rencontre des deux qui crée le risque. On voit d'ailleurs se développer aujourd'hui de véritables offres de "Crimeware as a service", grâce auxquelles des groupes terroristes ou mafieux "traditionnels" pourraient acheter des capacités d'attaque sur étagère.

Quelles sont les mesures engagées pour remédier aux failles de sécurité informatique ?

Si la menace progresse, la réponse s'organise progressivement aux plans juridique, technique, humain et organisationnel. Le point essentiel, c'est de poursuivre inlassablement cet effort car ce sera toujours une course entre attaquants et défenseurs. Au plan gouvernemental, la France a considérablement renforcé ses moyens de lutte. Dans la lignée des deux livres blancs sur la sécurité et la défense nationale, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a vu ses capacités renforcées avec la Loi de Programmation Militaire 2014-2019. Grâce aux décrets d'application en cours de préparation, elle pourra désormais, au nom du Premier ministre, imposer aux opérateurs d'infrastructures vitales des mesures de sécurité. Ceux-ci devront par ailleurs déclarer les incidents constatés sur leurs systèmes d'information. Côté privé, les entreprises progressent également dans la prise en compte du phénomène, notamment en mutualisant leur sécurité et en recourant aux services d'acteurs spécialisés. L'essor du cloud computing et de réseaux d'entreprises constitués d'une part d'ordinateurs qui s'apparentent de plus en plus à des terminaux et, d'autre part, de grosses fermes informatiques peuvent, de ce point de vue, constituer une opportunité puisqu'ils permettent en théorie de professionnaliser la sécurité et de transférer le risque chez un spécialiste. En revanche, au-delà des aspects purement techniques, la question de la confiance, notion subjective, n'en devient que plus essentielle. Il ne s'agit plus de chiffrement, de mot de passe ou de sauvegarde, mais de clauses contractuelles, de transparence dans la chaîne des prestataires utilisés et... de souveraineté numérique.

Est-il en définitive possible de lutter contre ces cyberattaques ?

Oui. Il n'y a pas de fatalité, et le pire serait que le développement de nouveaux usages soit durablement freiné par des problèmes de sécurité. Mais il est vital pour cela de faire de évoluer notre modèle de sécurité. La protection par l'anti-virus ou le firewall ne suffit plus. Il faut intégrer le fait que les attaques sont le lot quotidien de tout système d'information, et donc surveiller en permanence les réseaux pour détecter les attaques et réagir en temps quasi-réel. En amont, il est aussi essentiel de construire des systèmes intrinsèquement résilients, c'est à dire capables d'encaisser les chocs et de s'adapter en permanence aux attaques. C'est la sécurité "by design". C'est aussi le "secure coding" qui permet aux développeurs, grâce à des outils de programmation intégrant la vérification de l'intégrité du code informatique produit, de limiter les failles de sécurité dès la conception. D'où l'importance des travaux de Gérard Berry, professeur au Collège de France et médaille d'or du CNRS en 2014. N'oublions pas que les erreurs humaines demeurent les premières causes d'incident informatique...