En direct
Best of
Best of du 12 au 18 octobre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

02.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

05.

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

06.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

07.

Un chef étoilé mange dans son restaurant : 14 000 euros de redressement de l'Ursaff

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

05.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

04.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

05.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

06.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

ça vient d'être publié
pépite vidéo > Faits divers
Héroique
Etats-Unis : Il désarme un élève armé d'un fusil à pompe en lui faisant un câlin
il y a 15 heures 31 min
décryptage > Culture
Atlanti-Culture

Théâtre : "Sept ans de réflexion" : Une farce (un peu trop lourde) sur l'adultère

il y a 16 heures 43 min
light > Insolite
Dur à avaler
Un chef étoilé mange dans son restaurant : 14 000 euros de redressement de l'Ursaff
il y a 18 heures 57 min
décryptage > Environnement
Découvrons l'écoféminisme

"Ma planète, ma chatte, sauvons les zones humides" !

il y a 20 heures 42 min
décryptage > Economie
Experte

Esther Duflo à Bercy, vite. Mais pas comme ministre

il y a 21 heures 16 min
décryptage > France
Mauvais prisme

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

il y a 21 heures 36 min
décryptage > France
Interdit d'interdire

Pourquoi la France devrait résister à la tentation de répondre par des interdictions à tous les défis qu’elle rencontre

il y a 21 heures 50 min
décryptage > Economie
Manque d’ambition ?

PLF 2020 : l’étonnante stabilité de la ventilation des dépenses publiques françaises à travers le temps

il y a 22 heures 1 min
décryptage > Culture
Culture

"Miroir du temps" d'André Suarès : une occasion précieuse de découvrir une pensée d’une inventivité débridée et salutaire

il y a 1 jour 10 heures
pépite vidéo > International
Ultimatum
Liban : nouvelle journée de mobilisation contre la classe politique et la corruption
il y a 1 jour 12 heures
décryptage > Culture
Atlanti-Culture

"Vania : Une même nuit nous attend tous" : "Oncle Vania" revisité

il y a 16 heures 32 min
décryptage > Culture
Atlanti-Culture

"Le roman de la France- une histoire de la liberté" de Laurent Joffrin : Tome 1, de Vercingétorix à Mirabeau

il y a 16 heures 49 min
décryptage > Education
Tous égaux

Discriminations positive à l’entrée dans les Grandes écoles : l’égalitarisme en mode délire

il y a 20 heures 37 min
décryptage > Economie
Dépenses très privées

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

il y a 20 heures 59 min
décryptage > High-tech
La Minute Tech

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

il y a 21 heures 27 min
décryptage > Justice
L'armée des ombres

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

il y a 21 heures 42 min
décryptage > Atlantico business
Atlantico Business

Brexit : si vous avez aimé les deux premières saisons, vous serez passionné par la troisième

il y a 21 heures 58 min
décryptage > Politique
En même temps

Ce que la médiation Blanquer-Taché dit vraiment de LREM

il y a 22 heures 13 min
"Climate change"
Jane Fonda et Sam Waterston ont été arrêtés lors d'une manifestation pour le climat
il y a 1 jour 11 heures
pépites > Justice
Défense
Rachida Dati dénonce une "instrumentalisation" dans le cadre de l'information judiciaire dans l'affaire Ghosn
il y a 1 jour 12 heures
© Reuters
Les pirates informatiques sont de plus en plus puissants.
© Reuters
Les pirates informatiques sont de plus en plus puissants.
Vulnérables

Les inquiétantes failles de sécurité de nos grandes institutions face aux pirates informatiques

Publié le 08 août 2014
Alors que les attaques informatiques contre les grandes institutions internationales se multiplient, certains commencent à remettre en cause leur capacité à s'en prémunir. Face à des hackers professionnels, les Etats eux-mêmes demeurent les principaux instigateurs de ces attaques, mais aussi les plus redoutables.
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Alors que les attaques informatiques contre les grandes institutions internationales se multiplient, certains commencent à remettre en cause leur capacité à s'en prémunir. Face à des hackers professionnels, les Etats eux-mêmes demeurent les principaux instigateurs de ces attaques, mais aussi les plus redoutables.

Atlantico : Récemment, la Banque centrale européenne a annoncé avoir été victime d'un vol de données et d'une demande de rançon. L'éditeur de logiciel anti-virus McAfee avait également révélé que depuis 2007, 72 gouvernements et organisations internationales avaient été espionnés par des hackers, dont l'ONU et le gouvernement américain. Nos institutions internationales sont-elles suffisamment protégées aujourd'hui ? En quoi ne le sont-elles pas ?

Fabrice Epelboin : Deux constats s’imposent. Tout d’abord, ces attaques existent depuis un bon bout de temps, il n’y a rien de neuf à l’horizon, en dehors de la communication de certains et de l’intérêt soudain de la presse grand public pour le sujet. Le tout est rendu plus visible, il est vrai, par la (bonne) habitude, de la part des victimes d’attaques, de signaler celles-ci, ce qui n’était pas toujours la norme dans le passé.

Ensuite, il y a l’intérêt soudain des médias mainstream pour les “hackers”, un terme qui remplace peu à peu le mot fourre-tout de “pirate”. Derrière ce terme - hacker - se cache une très vaste collection de profils divers et variés, allant de l’adolescent passionné d’informatique qui vit chez ses parents à une équipe de professionnels aguéris travaillant pour la NSA. Tous ces gens là (et bien d’autres encore) tombent dans la catégorie des “hackers”. Cette catégorie est presque aussi floue que le terme d’ "informaticien", qui, encore aujourd’hui, désigne tout et n’importe quoi.

Cette remarque liminaire étant faite, venons en à votre question : nos institutions internationales sont-elles suffisamment protégées aujourd'hui ? A celà, on pourrait se demander contre quoi ? L’adolescent précité ? Oui, nous sommes suffisament protégés contre cela, enfin, la plupart du temps. La NSA ? L’affaire Snowden a montré que les renseignements américains étaient en mesure d’obtenir toutes les informations dont ils pouvaient avoir besoin au sein de toutes les institutions comme l’ONU, le Parlement européen, l’OMC, etc. , préparant ainsi de façon très efficace toutes les négociations internationales et faussant gravement le jeu de la diplomatie internationale. Donc, non, en aucun cas, nos institutions internationales ne sont pas en mesure de se protéger aujourd’hui. A titre d’anecdote, l’armée française s’est équipée l’année dernière en Microsoft, malgré les hurlements de bon nombre de spécialistes français, quelques mois à peine avant que des documents Snowden montrent que les services américains pouvaient, grace à cela, les surveiller. 

Au mois de mars de cette année, l'Otan avait fait part d'une attaque informatique par déni de service, consistant en une saturation des connexions au site pour le mettre hors-service. Quelles sont les différentes sources de motivations des hackers ?

Là encore, il est important, à l’heure où la presse qui s’adresse au grand public se saisit de ce genre de sujet d’être clair sur le terme “attaque”. Un DDoS - une attaque par déni de service - est une attaque bénigne. Quand les Anonymous mettent en place de telles attaque, on considère que c’est l’équivalent, online, d’une manifestation. Aucun dégat ne résulte d’une “attaque” DDoS, juste un blocage d’un site web le temps de l’attaque, de la même façon qu’une avenue va être bloquée le temps d’une manifestation. Le terme “attaque” est quelque peu exagéré, tout du moins aux oreilles de non-spécialistes, qui l’assimilent à une aggression avec une intention de destruction ou de vol.

Les motivations pour effectuer une attaque DDoS sont multiples. Les Anonymous s’en servent généralement comme d’une façon de manifester leur mécontentement face à une institution ou une entreprise, en paralysant son site web durant quelques heures. On peut aussi utiliser une attaque DDoS pour nuir à un concurrent - une pratique assez courante entre différents groupes de cybercriminels. Il est courant que des Etats utilisent de telles attaques pour paralyser des sites médias, afin d’éviter qu’une information ne sorte - les Russes sont des adeptes de ce genre de pratique, même s’ils les sous-traitent, la plupart du temps à des groupes mélant hacktivisme nationaliste et cybercriminalité.

Une attaque DDoS peut également être le préliminaire d’une attaque plus complexe : cela a été le cas, par exemple, quand la société HBGary, un sous-traitant de l’armée et des renseignements américains, a subi une attaque DDoS - menée par Anonymous là encore - ce qui a permis ensuite, du fait d’une faille découverte à l’occasion, d’accéder à la messagerie de l’entreprise. L’ensemble des emails de l’entreprise ont, par la suite, été rendus public, révélant au monde une multitude d’informations, dont certaines était aussi croustillantes que certaines révélations de Snowden, comme l’opération CyberDawn de l’armée US.

Les motivations donc sont très variées, mais on peut les classer dans quatre catégories : des motivations d’ordre réputationel, quand un individu ou un groupe cherche à se faire un nom à travers une prouesse technique qui prend la forme d’une attaque; les motivations financières, la base de la cybercriminalité; les motivations politiques, une catégorie dans laquelle on va trouve aussi bien les Anonymous, que - surprise - la NSA, qui elle aussi réalise un nombre incroyable d’attaques informatiques dans le but de fournir des renseignements à l’Etat américain afin de lui conférer une supériorité politique sur ses alliés ou ses ennemis. Enfin, on a des motivation d’ordre militaire, qui concernent quasi-exclusivement les Etats, à des fin de renseignement ou à des fins offensives, comme quand les centrifugeuses iraniennes servant à enrichir de l’uranium ont été détruites par un virus informatique.

Si l'on devait imaginer, au regard des failles constatées plus haut, le pire scénario, quel serait-il ?

Le pire scénario serait sans conteste une attaque sur l’ensemble des infrastructures françaises par les Etats-Unis : autant dire que vous avez intérêt à avoir des bougies pour vous éclairer à la maison et une cheminée pour vous chauffer. Il n’est pas impossible que d’autres Etats soient en mesure d’infliger des dégats comparables, mais pour ce qui est de simples hackers, même les plus doués, un scénario catastrophe est hautement improbable. Même si la figure du cyber-terroriste a un brillant avenir médiatique devant elle, détronant le célèbre “pédonazi” qui va pouvoir prendre une retraite bien méritée, on reste là dans la communication, pour ne pas dire la propagande. Cela n’est guère qu’un artefact destiné à détourner l’attention.

Ceci dit, le scénario catastrophe que nous vivons actuellement est presque aussi alarmant qu’une cyberguerre avec les Etats-Unis. Nous savons aujourd’hui que nos institutions, nationales ou internationales, n’ont aucun secret pour les Etats-Unis, ce qui fausse totalement tout le jeu des négociations internationales, et notamment des négociations commerciales, c’est-à-dire la capacité d’entités telles que la France ou l’Europe de défendre leurs intérêts économiques. C’est une situation très grave, dont peu de personnes semblent saisir l’importance.

Le ministre de la Défense, Jean-Yves le Drian, a annoncé en janvier qu'un milliard d'euro sera débloqué pour améliorer la sécurité informatique. Ce genre de mesure fait-elle face à une obsolescence des systèmes déjà en place, ou essaye-t-on de prendre de l'avance sur les techniques des hackers ?

Là encore, méfions-nous du vocabulaire : les politiques sont friants de tours de passe-passe sémantiques. Ce terme de “sécurité informatique” ne veut pas dire grand chose dans ce contexte. Depuis la loi de programmation militaire votée en décembre dernier, et plus encore avec la future loi antiterroriste et son volet "cyber" qui ne devrait pas tarder à être votée, nous avons instauré, en ligne, l’équivalent de la loi martiale.

Si nous faisions une analogie avec le monde réel, nous somme passés d’un monde tel que nous le vivons aujourd’hui, avec quelques voitures de police qui parcourent la ville de temps à autre, parfois sirènes hurlantes, pour assurer notre “sécurité”, à un monde où, loi martiale aidant, nous aurions plusieurs chars d’assaut stationnés sur chaque place de Paris, et des véhicules blindés surmontés d’un mitrailleuse à chaque coin de rue, toujours, bien sûr, pour assurer notre “sécurité”.

Dans le online, nous nous dirigeons vers cela. Vous réalisez bien que si nous devions stationner un véhicule blindé léger à chaque coin de rue en France et des chars sur chaque place  et devant chaque entrée d’autoroute, l’armée française aurait soudainement besoin d’acheter tout un tas de véhicules et devrait recruter pas mal de monde, toujours, cela va sans dire, pour assurer notre “sécurité”.

Le milliard évoqué par le ministre de la Défense, qui sera suivi de tout un tas d’autres milliards, va servir à cela.

“Nous” n’essayons pas du tout de “prendre de l’avance sur les hackers”, “nous” cherchons à assoir une domination militaire dans un espace qui était jusqu’ici civil, l’Internet.

 

 

Un service de renseignement russe a d'ailleurs décidé de faire marche-arrière sur l'informatique en revenant à l'utilisation de machines à écrire. Pour autant, la "rematérialisation" des données est-elle la seule solution qu'il nous reste ? Qu'est ce que les entreprises publiques pourraient mettre en oeuvre pour vraiment limiter les risques ?

Le retour à la machine a écrire… J’ai franchement un gros doute sur cette information. Je ne peux m’empécher de penser à une blague imaginée par le FSB dans le but de rire de sa reprise par la presse occidentale. Une simple analogie peut vous permettre de comprendre l’aspect comique : si vous vouliez stocker sur du papier les informations que traite la NSA aujourd’hui, il vous faudrait un batiment dont la superficie serait proche de celle du continent africain. Autre abération, nous sommes dans un monde où l’information n’a de valeur que si elle circule. Le papier n’est pas idéal. Franchement, il va me falloir des preuves en béton armé pour croire à une telle information.

Mais ceci étant dit, la question que vous soulevez est pertinente. La seule voie réaliste pour se protéger est en effet la rematérialisation, le retour au tout papier, synonyme, au mieux, d’un retour à la France des années 1950, la croissance en moins, et la dette en plus. Franchement, ce n’est pas vraiment une solution, mais c’est peut être bien la seule, ce qui constitue un paradoxe interessant, sur ce qu’il dit de notre époque.

Une solution durable serait plus à rechercher dans un changement de paradigme vis à vis de l’information, et ce n’est pas pour demain. On pourrait, par exemple, imposer la transparence par défaut, et réserver le secret à un nombre très limité d’informations, qui du fait de leur petit nombre, seraient ainsi bien plus faciles à sécuriser efficacement.

Prenons l’exemple concret de négociations internationales sur un sujet critique, le climat par exemple. Aujourd’hui, le processus consiste à ce que les parties prenantes - Etats, ONG, lobbies, etc, préparent de façon plus ou moins secrète ces négociations à travers une multitude d’échanges et de négociations préalables, de façon à ensuite négocier ensemble, bien souvent de façon plus ou moins secrète, ce qui aboutira à un accord international.

Un tel process est aujourd’hui biaisé, du fait de la capacité de renseignement et de surveillance de certaines de ces parties prenantes. Cela explique en grande partie le résultat de tels accords : Kyoto, ACTA, TAFTA… Tous ces accords internationaux sont parfaitement biaisés, tout comme le seront ceux qui vont suivre.

Maintenant, imaginons un monde dominé par l’idée de transparence. Toutes les étapes intermédiaires menant à un accord mondial sur un sujet affectant tous les habitants de la planète, seraient faites de façon parfaitement transparente, tout le monde pourrait assister aux moindres étapes, chez chacune des parties prenantes, voir même participer à certaines d’entre elle, et ce jusqu’à l’aboutissement d’un accord mondial régissant tel ou tel aspect de la marche du monde.

Techniquement, ceci n’est pas un problème majeur, c’est tout à fait faisable, Internet permet de faire cela. Politiquement, c’est une autre histoire, on est loin de pouvoir envisager de faire de la politique ainsi. Nous sommes même incapables de gérer une simple municipalité de cette façon, alors des accords internationaux, vous pensez bien.

Une telle façon de procéder résoudrait le problème de la confiance et de l’implication des citoyens dans la vie politique, amènerait - si c’est conçu pour cela - à une culture du consensus plutôt que de la confrontation, et serait, accessoirement, peu sensible à la surveillance.

 

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

02.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

05.

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

06.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

07.

Un chef étoilé mange dans son restaurant : 14 000 euros de redressement de l'Ursaff

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

05.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

04.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

05.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

06.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
rubaddha
- 04/08/2014 - 22:17
Fautes d'orthographe
suffisamment et non suffisament ... j'ai renoncé pour les accents circonflexes ...