Cybersecurité : les piratages massifs sont inévitables, il est grand temps d’apprendre à vivre avec le fait que nos données seront volées

Atlantico : Selon Rahul Telang, professeur des systèmes d'information à l'Université Carnegie Mellon, un pirate informatique déterminé réussira toujours à faire ce qu'il veut. Doit-on pour autant se résoudre aujourd'hui à vivre avec la menace permanente d’un piratage de données au-dessus de nos têtes ?

Franck DeCloquement : La presse américaine s’en est, en effet, faite récemment l’écho : si les dernières cyberattaques d’envergure nous on apprit quelque chose – à l’image de celles qui ont visé il y a peu la société Equifax et Yahoo – c'est bien que les violations à répétition ou les compromissions manifeste de nos données personnelles hébergées chez ces opérateurs aux prérogatives géantes, font désormais partie intégrante de nos vies connectées. Dès lors, une épée de Damoclès très lourde de conséquences funestes pour chacun d’entre nous pèse en permanence sur nos têtes… Hélas pourrions-nous dire. Gouverner c’est prévoir, et comme le rappel en outre le spécialiste Rahul Telang, il serait grand temps de faire preuve de lucidité à ce propos et de prévoir l’impact inévitable de ce type d’action malveillante, sur l’ensemble de nos données personnelles. Et ceci, au même titre finalement que les risques de cambriolages font peser très concrètement sur l’intégrité de nos domiciles personnels dans la vie réelle !

Dans le cas emblématique de l’affaire Equifax, ceci aura gravement compromis un océan de données personnelles. Exposant plus de la moitié de la population des Etats Unis d’Amérique, selon les dernières informations disponibles en date. Ce qui n’est évidemment pas une mince affaire en l’occurrence. De son côté, le géant Yahoo a récemment avoué que le vol massif de ses données numériques a eu un impact sur près de 3 milliards de comptes utilisateurs. Soit trois fois ce que la firme avait révélé initialement. A l’image d’Equifax a également revu très à la hausse, le nombre de ses clients dont les données ont été piratées. Au demeurant, les entreprises géantes détentrices de millions de données clients, semblent hélas enclines à minimiser parfois l'ampleur réelle des attaques qu’elles ont pu subir et leur étendue. Et ceci pensent-elles dans un premier temps, afin de préserver leur réputation et leur business. Ce qui suggère aussi en creux – dans le contexte anglo-saxon –  que de meilleures normes en termes de divulgations de ces violations devront être établies, puis rapidement imposées aux différents opérateurs. A l’image de ce qui se met en place actuellement au niveau européen, et en France tout particulièrement.

Bien que n'étant pas une banque, Equifax a légalement accès à des données normalement privées, au titre des lois destinées à contrer le blanchiment d'argent, même si certaines organisations de consommateurs lui reprochent ensuite de vendre ces mêmes informations, ou les déductions faites à partir de ces informations, à d'autres parties prenantes que les banques…

La tendance de ces grandes entreprises à minimiser dans un premier temps l'ampleur de ces cyberattaques, et leurs conséquences pour leurs utilisateurs, est-elle finalement un aveu d'impuissance ?

Dans un certain nombre de cas, on ne peut en effet que le constater. L’ensemble des données qui ont été volées à Equifax pourrait entrainer des conséquences incommensurables pour les clients concernés. Conséquences doublement aggravées par ce que le spécialiste Rahul Telang considère de son côté comme une forme de manquement ou d’incompétence notable, quant aux mesures de protection amont mise en place par l'entreprise pour répondre à ce type de cyberattaque. Rappelons également, comme nous l’évoquions plus haut, que le droit américain est encore très lacunaire en matière de contrôle des entreprises. En effet, 4 mois après un piratage, l'Etat fédéral américain et sa Federal Trade Commission ne peuvent pas poursuivre les entreprises impactées par des cyberattaques, mais uniquement leur demander de s'engager à prendre des mesures pour mieux protéger leurs clients et les données personnelles de ceux-ci. Certains médias américains, à l’image du New-York Times, ont demandé des sanctions renforcées en cas de fuite de données. Évoquent à ce propos l'exemple du projet européen de « Référentiel Général sur la Protection des Données », le fameux RGPD qui devrait être opérationnel en mai 2018.

Equifax avait initialement communiqué sur ce piratage massif de données le 7 septembre 2017, alors que cette cyberattaque semble avoir été découverte dans les faits le 29 juillet 2017. Cette entreprise d'évaluation de la cote de crédit recueille par ailleurs les données de plus de 820 millions de consommateurs, et plus de 91 millions d’entreprises dans le monde entier. Rappelons qu’Equifax est originellement « une société d'évaluation de la solvabilité et de la capacité de remboursement d'une personne ou d'une entreprise souhaitant accéder au crédit à la consommation ou à une assurance ». En Amérique du nord et dans certains pays anglophones, ce type de bureau de crédit – aussi dénommés « Rating Agencies » – est très couramment chargé pour le compte de prêteurs d'évaluer les risques de défaillance de remboursement face au crédit (on parle plutôt en France d'évaluation des risques clients). Pour évaluer le risque de non-solvabilité et d'autres paramètres d'intérêt pour le commerce, Equifax utilise très largement des techniques de gestion des mégadonnées, dont la fouille de flots de données. Comme évoqué plus haut, Equifax les recueille en les analysant et en les agrégeant sur plus de 820 millions de consommateurs individuels, et plus de 91 millions d'entreprises réparties dans le monde. A cela s’ajoutent les bases de données que fournissent plus de 7 100 employeurs sur leurs propres employés. On perçoit immédiatement les effets vertigineux et particulièrement pernicieux que pourraient engendrer les conséquences d’une telle cyberattaque…

Selon Alan Woodward, expert en cyber sécurité de l'Université de Surrey, qui fut interrogé par la BBC au moment de la révélation des faits, ce type de faille et d'erreurs aurait dû être détecté bien en amont par un basique contrôle de sécurité informatique : « ceci ne devrait pas se produire, et répondre que le problème a été réglé n'est pas le sujet : ceci pose un énorme point d'interrogation sur l'utilisation par Equifax des ressources appropriées pour la sécurité en ligne ailleurs ». Avis d’expert.

Comment les états et les assises de la cyber sécurité peuvent-ils réagir ? En Menant une action conjointe ?

Sensibiliser continuellement toutes les parties prenantes concernées par les réalités des cyber menaces pouvant impacter notre écosystème digital, procède d’une démarche responsable. Les Etats ne sont pas forcément les mieux armer ni même les seuls opérateurs pouvant être en capacité de répondre efficacement à ce défi. Mais ils peuvent en effet contribuer à imposer certaines normes indispensables en la matière, à l’image de la RGPD évoqué précédemment. Il est évidemment très difficile pour les particuliers que nous sommes tous peu ou prou, de contrecarrer seul des attaques informatiques de plus en plus sophistiquées dans leur mise en œuvre. D’autant plus quand ces mégas donnés concernés par les piratages sont détenues par des tiers de confiance supposés, à l’image des géants Yahoo ou Equifax. L'industrie de la cyber sécurité milite en effet puissamment pour l'adoption de nouvelles normes de protection globales en capacité de protéger nos données des prédateurs informatiques. Vœux pieux ? L’avenir nous le dira... En attendant, le 15 septembre dernier, Equifax a déclaré avoir engagé dès le mois d’août les services du cabinet de cyber sécurité « Mandiant », une filiale de FireEye Inc, pour enquêter sur cette cyber agression aux conséquences incalculables pour l’heure. Pour rappel, et selon l'entreprise, les autorités gouvernementales – les procureurs généraux des États-Unis et les organismes de réglementation fédéraux – auraient été informées très tôt de cette cyberattaque. A ce titre, l'enquête se ferait en étroite collaboration avec le FBI. Le directeur des systèmes d'information et le directeur en charge de la sécurité de l'agence ont été entre temps remerciés…