Vol massif d'empreintes digitales : la cybercriminalité entre dans une nouvelle ère<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Vol massif d'empreintes digitales : la cybercriminalité entre dans une nouvelle ère
©Reuters

Danger réel

Après le piratage d'applications pour Iphone, un nouveau scandale de cybercriminalité est révélé au grand jour. 5,6 millions d'empreintes digitales auraient été volées à un organisme étatique américain. Une nouvelle barrière franchie par les hackers !

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Cet été, 5.6 millions d'empreintes digitales ont été volées à un organisme étatique américain « l'Office of Personnel Managementl'Office of Personnel Management», ce qui en fait la plus grande cyber attaque de l'histoire. Était-ce la première fois que des empreintes étaient dérobées ? Quel risque représente ce vol d'informations ? 

Franck DeCloquement : Le bilan s'est en effet alourdit depuis les premières déclarations officielles. « L'Office of Personnal Management », une agence américaine en charge de la fonction publique aux États-Unis, a en effet indiqué ce mercredi 23 septembre que 5,6 millions de ses employés s'étaient fait « hacker » leurs empreintes palmaires. Dont des employés du Pentagone, de la NSA et du FBI… Ce piratage massif de fichiers qui aurait eu lieu en juin dernier avait aussi permis aux agresseurs d’accéder à des informations très personnelles, concernant plus de 21 millions d'Américains… Au nombre desquels leurs numéros de sécurité sociale ainsi que des éléments beaucoup personnels. Il y a trois mois à peine, l'OPM avait initialement déclaré que « seulement » 1,1 million d'empreintes avaient été dérobées…La réalité qui se fait jour est infiniment plus préoccupante…

Comme le rapportent les médias américains depuis ces révélations tapageuses - la chaine CNN en outre - ce piratage pourrait être le fait de hackers chinois… Il faut toutefois s’abstenir à cette heure, de toutes conclusions hasardeuses à ce sujet et savoir raison garder. En pénétrant la base de données de l'OPM, les agresseurs ont notamment eu accès à la liste des fonctionnaires en charge des dossiers sensibles ayant trait au « secret défense ». Ceci pouvant potentiellement représenter une catastrophe majeure pour le contre-espionnage américain. La principale crainte étant que les hackers puissent éventuellement faire du chantage aux fonctionnaires en charge de traiter les données sensibles du pays, et que ces derniers deviennent des cibles privilégiées pour une puissance étrangère, qui nourrirait l’intention de « recruter » des agents infiltrés au sein même du dispositif de défense américain. La paranoïa est à son comble.

Le piratage des fichiers de l’institution inquiète également les autorités parce que les agresseurs ont pu s'emparer des fameux SF-86 Forms… Autrement dit, les célèbres questionnaires « For National Security Position » qui contiennent en outre des déclarations concernant des prises de stupéfiants éventuelles ayant eu lieu dans le passé des personnels concernés, ou des relations adultérines que ceux-ci ont pu entretenir, pouvant grandement faciliter toute forme de chantage par « effet boomerang »... 

Toutefois, à l'heure ou nous rédigeons ces lignes, l'OPM à fait savoir dans un communiqué de presse mis en ligne sur son site web officiel, que le risque de voir cette collecte frauduleuse d’empreintes, détournée - et ceci à des fins criminelles - était limité. Cependant, L'Office of Personnal Management  n'a pas souhaité entrer dans les détails techniques lorsque des correspondants du magazine américain « Wired » ont demandés sans ambages, « sur quels faits concrets et étayés se basait une telle affirmation ? ». L’OPM renvoyant à ce propos, tous les journalistes en charge de suivre cette affaire, vers les services de renseignement spécialisés, afin de quérir des explications plus circonstanciées et précises.

Atlantico : Sait-on comment une attaque d'une telle nature peut avoir lieu ? Quelle faille peut-en être à l'origine ?

Franck DeCloquement :Les explications potentielles et les modalités d’accès techniques qu’ont pu mettre à profit les agresseurs pour mener cette opération d’envergure exceptionnelle, sont nombreuses. Et nul ne peut savoir à cette heure et avec certitude, les causes exactes. Les rumeurs qui circulent comme d’habitudes sur la toile vont bon train et se répandent à grande vitesse sur les réseaux sociaux. Ce ne sont que des extrapolations, bien loin de représenter une expertise sérieuse et même fondée. Il ne faut pas aller trop vite en besogne, alors que l'affaire est désormais entre les mains expertes d'un groupe de spécialistes composé notamment de membres du FBI et du Pentagone. Nous pouvons également rappeler que le hacking de L'Office of Personnal Management  avait amené à la démission, sa directrice générale : Madame Katerine Archuleta.

Atlantico : En plus des empreintes digitales, les adresses et numéros de sécurité sociale de 21 millions d’anciens et actuels employés du gouvernement américain ont été volés. Comment l'état américain et les particuliers peuvent-ils se protéger de ce genre d'attaques ? 

Franck DeCloquement :Pour répondre à votre question, « si, à l'avenir, de nouveaux moyens sont développés pour abuser des données d'empreintes digitales, le gouvernement fournira des informations supplémentaires aux personnes dont les empreintes digitales peuvent avoir été volés », ont indiqué les portes paroles de l’OPM. Il est intéressant de rappeler qu’il y a deux ans à peine, l’autorité allemande de protection de la vie privée - l’équivalent de notre CNIL outre-Rhin - avait jugé parfaitement déraisonnable de  trop démocratiser des applications biométriques avancées, au prétexte qu'elles apporteraient une « plus value » de confort d’utilisation aux clients. Cette critique acerbe visait en réalité le nouvel IPhone 5S d’Apple, dont le bouton d'accueil intégrait un capteur d’empreintes digitales offrant la possibilité à l’usagé de ce Smartphone de s'identifier de manière palmaire, sans passer par le couple fastidieux : « identifiant / mot de passe ». Tous les constructeurs de Smartphones se sont depuis rués sur le déploiement d’applications biométriques, comme s’il s’agissait de la panacée en matière d'innovations sécuritaire pour simplifier la vie de leurs utilisateurs. « Scanner de l’iris », « identifications palmaires », toutes les solutions marketing semblent bonnes dés lors qu’il s’agit de reléguer aux oubliettes de l’histoire la classique « frappe » du mot de passes, sur de banales touches alphanumériques. Les constructeurs oubliant un peu vite que toutes ces informations biométriques ont un inconvénient majeur : si d’aventure elles sont dérobées frauduleusement par un agresseur déterminé, elles ne peuvent évidemment plus être modifiées par la suite... Ruinant de fait - et instantanément - toute forme de protection par la même occasion, puisqu’à la différence d’un numéro de sécurité sociale ou d’un banal mot de passe, une empreinte digitale ne peut être effacée, changée ou supprimée. Car elle nous est spécifique et reste une donnée biologique constante tout au long de la vie. Les pirates pourraient alors se servir à l’envi de ces données capturées, pour mettre en place des dispositifs d’usurpation d’identité. Et ceci, à grande échelle.

Ironie de l’histoire, cette révision très à la hausse du nombre de fichiers d’empreintes digitales volées à l’OPM, survient le même jour que la prise de parole à Seattle du président chinois Xi Jingping, à l'occasion de son voyage aux États-Unis. Le chef de l'État Chinois en visite insistant pendant son discours, sur la fermeté qu’il mettrait en œuvre envers les piratages Chinois agissant contre les États-Unis, dont il assure par ailleurs vouloir faire un partenaire privilégié dans la lutte contre les attaques cybercriminelles… Faut-il le croire ?

Atlantico : Si l'ampleur de l'attaque est du jamais vu, quel pouvait en être le but ? 

Franck DeCloquement :Comme chacun le sait, il est toujours très difficile « d’authentifier » à coup sûr la nationalité exacte des pirates ayant pris part à cette opération. Et quand bien même, cela ne veut souvent rien dire. Agissent-ils pour leur propre compte ou pour celui d’une autorité spécifique et donneuse d’ordre ? Il est extrêmement difficile de le prouver et de remonter jusqu’au commanditaire véritable. Voir impossible dans la majeure partie des cas. En l’occurrence dans cette affaire, le crime pourrait profiter à de très nombreux acteurs potentiels et de nombreuses parties prenantes. Les buts et les effets finaux recherchés peuvent être multiples. Quoi qu’il en soit, cette affaire jette l’opprobre sur l’invulnérabilité apparente et finalement l’intérêt technique de la biométrie comme mode de contrôle, dans l’esprit du grand public …

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !