Où l’on reparle de sécurité informatique

Un article du monde [Le FBI hanté par la menace d’une apocalypse cybernétique] parle d’un de mes dadas : la sécurité informatique.

Outre qu’on puisse difficilement plus racoleur pour un titre d’article — placer dans la même phrase FBI, menace, apocalypse et cybernétique est quand même fort — cet article montre qu’un changement s’opère dans les mentalités. D’ailleurs un article récent de securityfocus parle du même sujet.

La sécurité informatique, pour beaucoup, cela concerne les virus. Au pire on pense que c’est l’affaire d’un mec borné dans notre entreprise, qui ne pense qu’à limiter ce que vous pouvez faire sur votre poste de travail ; au mieux on se sent concerné et on installe un antivirus sur son ordinateur personnel.

Des attaques organisées et bien ciblées

Mais l’article du monde met le doigt sur un phénomène qui inquiète depuis bien longtemps les experts en sécurité informatique. Ce sont les menaces de groupes organisés (mafia ou états) sur les infrastructures d’une cible (état, entreprise).

Les raisons de ces inquiétudes sont fondées, et l’actualité récente l’a montré même si c’est passé plutôt inaperçu. L’Estonie et la Géorgie ont vécu un véritable black‐out informatique orchestré par des pirates Russes. La raison : le déplacement d’un mémorial de guerre soviétique, ce qui a horripilé les russes. Résultat : les sites internet institutionnels et ceux des grandes entreprises du pays ont été saturés de demandes, et donc mis hors service.

Cette attaque a révélé au grand jour les possibilités des mercenaires des temps modernes : ils disposent d’une véritable armée d’ordinateurs «zombies», des ordinateurs personnels tombés sous leur contrôle, avec lesquels il est facile de faire tomber un site.

Le soucis c’est d’une part qu’il n’y a pas grand monde qui prend au sérieux ce type de menace, comme en témoigne Christopher Painter (expert du FBI s’il vous plait).

Nous découvrons souvent qu’une entreprise a été attaquée, nous le lui disons et [ses dirigeants] ne sont même pas au courant.

Le deuxième problème, c’est que nous ne sommes pas bien armés pour lutter contre la cybercriminalité. Les arnaques sur internet peuvent se mener depuis n’importe quel pays et toucher des citoyens français, sur le sol Français. Les réseaux de trafiquants de numéros de carte bleue sont souvent situés dans des pays de l’Est ou en Asie, mais ils touchent des gens pouvant être ailleurs. Quelles sont les armes des autorités pour lutter contre ces phénomènes ? Pour le moment, j’ai l’impression qu’elles sont inexistantes.

Que dire d’actions concertés contre des sites institutionnels telles qu’en a vécu l’Estonie ? La suspicion est forte à l’encontre de la Russie, mais aucune preuve n’a été officiellement avancée. Ce genre d’action constitue‐t‐il un acte d’agression (dans le sens de la charte des Nations Unies) ?

Comment pourrait‐on lutter contre des actes terroristes contre les infrastructures du réseau mondial ? En combien de temps les principaux acteurs du réseau pourront‐ils se coordonner dans les ripostes ? Comment lutter à un niveau national contre un phénomène à portée bien plus importante ? Ces questions doivent rapidement trouver une réponse pour qu’internet ne devienne pas un véritable lieu de non droit.

L’enjeu des prochaines années : les données personnelles

Certes, les menaces qui pèsent contre des infrastructures du réseau des réseau, contre des institutions ou des grandes entreprises constituent une question importante de la sécurité informatique. Mais en même temps que l’on découvre de nouveaux actes de malveillance contre de telles cibles, on voit poindre également une menace tout aussi préoccupante concernant les données personnelles.

Selon zataz, près de 40 millions d’américains ont été victimes de perte de données personnelles en 2008, et dans 82% des cas cela concerne des fichiers informatiques, soit environ 33 millions de personnes. C’est tout simplement énorme. Le Royaume Uni a également connu de nombreuses pertes de données personnelles cette année (sur 84 000 prisonniers, sur 25 millions d’enfants, sur 7000 permis de conduire, sur 20 000 patients d’un hôpital, sur 600 000 personnes recensés dans un ordinateur du ministère de la défense).

L’enjeu est de taille, car certaines de ces informations sont confidentielles et peuvent probablement se monnayer. Évidemment, l’informatisation de nombreux fichiers a permis de régler des problèmes de coût, d’accès aux données, de recherche, de partage d’information. Mais il devient plus facile maintenant de se déplacer avec des informations concernant 600 000 personnes sur soi (clé USB, ordinateur portable), il devient également plus facile de les perdre ou de se les faire dérober. Or il semble que cette question ne soit pas vraiment posée par les personnes qui constituent ces fichiers.

Bref, la protection des données personnelles va devenir un enjeu de taille dans les années à venir. De ce point de vue, l’action de la CNIL en France paraît la bienvenue. Son action vise déjà à limiter le nombre d’informations disponible dans les fichiers qui peuvent être constitués (il me semble). Mais quels sont les risques encourrus par une entreprise ou les responsables d’une administration si certaines de leur données sensibles sont «perdues» (comprenez «dérobées») ? Si la teneur ces informations était disproportionnée par rapport aux besoins ? Quelqu’un le sait‐il ?

Commentaires

Un commentaire sur « Où l’on reparle de sécurité informatique »

  1. herisson26 dit :

    Ça te gêne si je fais un Ctrl+c-Ctrl+v de ce truc pour le taf ? ^_^

    La «perte» d’informations sensibles arrive plus ou moins régulièrement, pas trop en France pour l’instant (ou le black‐out a bien fonctionné, peut‐être), mais ça arrive. Au Royaume‐Uni, secoué l’an passé par différentes affaires de ce genre, ce fut simple : quelques dirigeants de l’étage «fusible» sautent, et on continue. Pas vu passer de nouvelles procédures ultra‐draconiennes visant (au hasard) à interdire de transporter des fichiers sur clef USB, à obliger les utilisateurs d’ordinateurs contenant de tels fichiers à chiffrer l’intégralité de leurs données et à éteindre (et PAS une mise en veille) leur ordinateur dès qu’ils le transportent…

Laisser un commentaire