Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech

Danger réel

Vol massif d'empreintes digitales : la cybercriminalité entre dans une nouvelle ère

Après le piratage d'applications pour Iphone, un nouveau scandale de cybercriminalité est révélé au grand jour. 5,6 millions d'empreintes digitales auraient été volées à un organisme étatique américain. Une nouvelle barrière franchie par les hackers !

Franck DeCloquement

Franck DeCloquement

Membre fondateur du Cercle K2 et ancien de l’école de Guerre Économique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations internationales et stratégiques) en "Géoéconomie et intelligence stratégique". Il enseigne également la "Géopolitique des médias" en Master 2 recherche "Médias et Mondialisation", à l'IFP (Institut français de presse) de l'université de Paris II Panthéon-Assas. Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d'espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS - l'association d’experts helvétiques dédiée à la sécurité de l'information - autour des réalités des actions de contre-ingérence économiques et des menaces dans la sphère digitale.

Voir la bio »

Atlantico : Cet été, 5.6 millions d'empreintes digitales ont été volées à un organisme étatique américain « l'Office of Personnel Management l'Office of Personnel Management », ce qui en fait la plus grande cyber attaque de l'histoire. Était-ce la première fois que des empreintes étaient dérobées ? Quel risque représente ce vol d'informations ? 

Franck DeCloquement : Le bilan s'est en effet alourdit depuis les premières déclarations officielles. « L'Office of Personnal Management », une agence américaine en charge de la fonction publique aux États-Unis, a en effet indiqué ce mercredi 23 septembre que 5,6 millions de ses employés s'étaient fait « hacker » leurs empreintes palmaires. Dont des employés du Pentagone, de la NSA et du FBI… Ce piratage massif de fichiers qui aurait eu lieu en juin dernier avait aussi permis aux agresseurs d’accéder à des informations très personnelles, concernant plus de 21 millions d'Américains… Au nombre desquels leurs numéros de sécurité sociale ainsi que des éléments beaucoup personnels. Il y a trois mois à peine, l'OPM avait initialement déclaré que « seulement » 1,1 million d'empreintes avaient été dérobées…La réalité qui se fait jour est infiniment plus préoccupante…

Comme le rapportent les médias américains depuis ces révélations tapageuses - la chaine CNN en outre - ce piratage pourrait être le fait de hackers chinois… Il faut toutefois s’abstenir à cette heure, de toutes conclusions hasardeuses à ce sujet et savoir raison garder. En pénétrant la base de données de l'OPM, les agresseurs ont notamment eu accès à la liste des fonctionnaires en charge des dossiers sensibles ayant trait au « secret défense ». Ceci pouvant potentiellement représenter une catastrophe majeure pour le contre-espionnage américain. La principale crainte étant que les hackers puissent éventuellement faire du chantage aux fonctionnaires en charge de traiter les données sensibles du pays, et que ces derniers deviennent des cibles privilégiées pour une puissance étrangère, qui nourrirait l’intention de « recruter » des agents infiltrés au sein même du dispositif de défense américain. La paranoïa est à son comble.

Le piratage des fichiers de l’institution inquiète également les autorités parce que les agresseurs ont pu s'emparer des fameux SF-86 Forms… Autrement dit, les célèbres questionnaires « For National Security Position » qui contiennent en outre des déclarations concernant des prises de stupéfiants éventuelles ayant eu lieu dans le passé des personnels concernés, ou des relations adultérines que ceux-ci ont pu entretenir, pouvant grandement faciliter toute forme de chantage par « effet boomerang »... 

Toutefois, à l'heure ou nous rédigeons ces lignes, l'OPM à fait savoir dans un communiqué de presse mis en ligne sur son site web officiel, que le risque de voir cette collecte frauduleuse d’empreintes, détournée - et ceci à des fins criminelles - était limité. Cependant, L'Office of Personnal Management  n'a pas souhaité entrer dans les détails techniques lorsque des correspondants du magazine américain « Wired » ont demandés sans ambages, « sur quels faits concrets et étayés se basait une telle affirmation ? ». L’OPM renvoyant à ce propos, tous les journalistes en charge de suivre cette affaire, vers les services de renseignement spécialisés, afin de quérir des explications plus circonstanciées et précises.

Atlantico : Sait-on comment une attaque d'une telle nature peut avoir lieu ? Quelle faille peut-en être à l'origine ?

Franck DeCloquement :Les explications potentielles et les modalités d’accès techniques qu’ont pu mettre à profit les agresseurs pour mener cette opération d’envergure exceptionnelle, sont nombreuses. Et nul ne peut savoir à cette heure et avec certitude, les causes exactes. Les rumeurs qui circulent comme d’habitudes sur la toile vont bon train et se répandent à grande vitesse sur les réseaux sociaux. Ce ne sont que des extrapolations, bien loin de représenter une expertise sérieuse et même fondée. Il ne faut pas aller trop vite en besogne, alors que l'affaire est désormais entre les mains expertes d'un groupe de spécialistes composé notamment de membres du FBI et du Pentagone. Nous pouvons également rappeler que le hacking de L'Office of Personnal Management  avait amené à la démission, sa directrice générale : Madame Katerine Archuleta.

Atlantico : En plus des empreintes digitales, les adresses et numéros de sécurité sociale de 21 millions d’anciens et actuels employés du gouvernement américain ont été volés. Comment l'état américain et les particuliers peuvent-ils se protéger de ce genre d'attaques ? 

Franck DeCloquement :Pour répondre à votre question, « si, à l'avenir, de nouveaux moyens sont développés pour abuser des données d'empreintes digitales, le gouvernement fournira des informations supplémentaires aux personnes dont les empreintes digitales peuvent avoir été volés », ont indiqué les portes paroles de l’OPM. Il est intéressant de rappeler qu’il y a deux ans à peine, l’autorité allemande de protection de la vie privée - l’équivalent de notre CNIL outre-Rhin - avait jugé parfaitement déraisonnable de  trop démocratiser des applications biométriques avancées, au prétexte qu'elles apporteraient une « plus value » de confort d’utilisation aux clients. Cette critique acerbe visait en réalité le nouvel IPhone 5S d’Apple, dont le bouton d'accueil intégrait un capteur d’empreintes digitales offrant la possibilité à l’usagé de ce Smartphone de s'identifier de manière palmaire, sans passer par le couple fastidieux : « identifiant / mot de passe ». Tous les constructeurs de Smartphones se sont depuis rués sur le déploiement d’applications biométriques, comme s’il s’agissait de la panacée en matière d'innovations sécuritaire pour simplifier la vie de leurs utilisateurs. « Scanner de l’iris », « identifications palmaires », toutes les solutions marketing semblent bonnes dés lors qu’il s’agit de reléguer aux oubliettes de l’histoire la classique « frappe » du mot de passes, sur de banales touches alphanumériques. Les constructeurs oubliant un peu vite que toutes ces informations biométriques ont un inconvénient majeur : si d’aventure elles sont dérobées frauduleusement par un agresseur déterminé, elles ne peuvent évidemment plus être modifiées par la suite... Ruinant de fait - et instantanément - toute forme de protection par la même occasion, puisqu’à la différence d’un numéro de sécurité sociale ou d’un banal mot de passe, une empreinte digitale ne peut être effacée, changée ou supprimée. Car elle nous est spécifique et reste une donnée biologique constante tout au long de la vie. Les pirates pourraient alors se servir à l’envi de ces données capturées, pour mettre en place des dispositifs d’usurpation d’identité. Et ceci, à grande échelle.

Ironie de l’histoire, cette révision très à la hausse du nombre de fichiers d’empreintes digitales volées à l’OPM, survient le même jour que la prise de parole à Seattle du président chinois Xi Jingping, à l'occasion de son voyage aux États-Unis. Le chef de l'État Chinois en visite insistant pendant son discours, sur la fermeté qu’il mettrait en œuvre envers les piratages Chinois agissant contre les États-Unis, dont il assure par ailleurs vouloir faire un partenaire privilégié dans la lutte contre les attaques cybercriminelles… Faut-il le croire ?

Atlantico : Si l'ampleur de l'attaque est du jamais vu, quel pouvait en être le but ? 

Franck DeCloquement :Comme chacun le sait, il est toujours très difficile « d’authentifier » à coup sûr la nationalité exacte des pirates ayant pris part à cette opération. Et quand bien même, cela ne veut souvent rien dire. Agissent-ils pour leur propre compte ou pour celui d’une autorité spécifique et donneuse d’ordre ? Il est extrêmement difficile de le prouver et de remonter jusqu’au commanditaire véritable. Voir impossible dans la majeure partie des cas. En l’occurrence dans cette affaire, le crime pourrait profiter à de très nombreux acteurs potentiels et de nombreuses parties prenantes. Les buts et les effets finaux recherchés peuvent être multiples. Quoi qu’il en soit, cette affaire jette l’opprobre sur l’invulnérabilité apparente et finalement l’intérêt technique de la biométrie comme mode de contrôle, dans l’esprit du grand public …

 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !