jeudi 22 mai 2014

Le citoyen face au cyber risque : un risque pour la démocratie ?

Nos sociétés sont de plus en plus régies par la connectivité, vecteur majeur nous intégrant de façon plus massive dans le cyberespace. Au nom du progrès, du « gain de temps » dans des vies de citadins aux rythmes continus, Internet (et les réseaux en général) s’immisce non  seulement dans nos moyens de communication, d’accès à l’information, mais également dans les actions de la vie quotidienne : acheter, se soigner, payer ses impôts, faire des déclarations auprès d’administrations…  La liste s’allonge un peu plus chaque mois, à mesure que les services que nous utilisons se « mettent au numérique », afin de nous en faciliter l’accès et d’assurer une productivité accrue. 

L’objet ici n’est pas de critiquer cette numérisation de nos vies qui par certains côtés constitue une avancée : accès aisé à des informations personnelles indépendamment de l’endroit où l’on se trouve, synchronisation de services permettant des gains de temps non négligeables, etc. La question est plutôt de s’interroger sur les conséquences à moyen et long terme d’un tel processus, et surtout de se demander si l’utilisateur / citoyen / consommateur est réellement conscient des enjeux de la numérisation de son existence. 

Les entreprises et administrations adoptent une communication quasi identique pour nous forcer à « passer le pas », à « adopter le numérique » : gain de temps, respect de l’environnement (discutable quand on sait le coût environnemental des serveurs stockant nos données…), efficacité. Elles cherchent à créer une confiance chez le citoyen qui doit s’habituer au virtuel pour des actions aux conséquences bien réelles. Cela passe par l’assurance que ce que fait le cybernaute est sûr, protégé, davantage qu’en dehors du cyberespace, où il est en réalité un peu plus maître de ses initiatives. 

Ainsi, nous laissons toujours plus d’informations en ligne, pas seulement sur les réseaux sociaux comme Facebook par exemple, mais bien aussi auprès des entreprises auprès desquelles nous sommes liés : FAI, compagnie d’électricité, banque… Or, ces entreprises, bien que disposant d’une panoplie d’outils importante, ne peuvent garantir à 100% l’intégrité de nos données. Ou alors, c’est qu’elles mentent !

Il suffit de faire de brèves revues de presse de ces derniers mois pour se rendre compte que le phénomène s’accentue : nos données ont non seulement une valeur largement monnayable pour des cybercriminels, mais elles font par-dessus-tout l’objet de toujours plus de vols. Les récentes révélations sur le vol d’informations de clients chez l’opérateur français Orange en sont un exemple. Dans tous les pays où Internet a une place importante dans la société, les services utilisés par les cybernautes sont sous la menace de criminels avec des conséquences potentiellement graves. En mars 2013, plusieurs banques de Corée du Sud ont subi une cyberattaque de grande ampleur qui a paralysé leurs services pendant deux heures. La durée semble à première vue faible, mais lorsqu’il est question de services utilisés en continu, qui ont des implications économiques et financières facilement imaginables, on se rend compte de la gravité de la situation. 

Les entreprises visées doivent réagir d’autant plus rapidement qu’il en va de leur crédibilité. Une entreprise qui tarderait à colmater une faille, à prévenir ses clients du danger, et surtout à mettre en place de nouvelles mesures de sécurité, prendrait le risque de voir une partie de ses clients la quitter pour un concurrent. La situation serait encore pire pour une administration publique qui incarne le pouvoir de l’Etat. Imaginons un instant une cyberattaque sophistiquée contre le service informatique des impôts d’un pays (je ne parle pas ici des faux mails, du phishing, dont l’efficacité pourrait être facilement réduite à peu de choses si les cybernautes étaient plus prudents) : des millions de données personnelles se retrouveraient ainsi en ligne, sans filet, à la merci d’un groupe de cybercriminels capables de tirer profit d’une telle aubaine. Si ces derniers aspirent au chaos, ils pourraient même modifier les correspondances d’informations, créant un désordre d’une ampleur jamais vue. 

Ce n’est pas de la science-fiction. Certes, de telles actions nécessiteraient des mois de préparation, des protagonistes aux compétences informatiques poussées, des moyens financiers conséquents, mais rien d’improbable. N’oublions pas que dans le cyberespace, l’assaillant a toujours une longueur d’avance sur la cible qui se défend a posteriori. Des politiques de cybersécurité sont mises en place à de multiples niveaux afin de maintenir la confiance chez le citoyen / utilisateur. Sans cette dernière, les services numériques ne sont que des coquilles vides…

Mais ces politiques ne sauraient suffire ; elles doivent être accompagnées de campagnes de sensibilisation auprès des citoyens qui sont de moins en moins éduqués à la notion de risque. Il faudra bien, même si cela nécessitera des années, que les citoyens acceptent la fragilité du numérique auquel ils se lient pourtant de plus en plus. Des scandales vont se faire jour, où les citoyens voudront protester contre l’ « erreur » de telle entreprise ou de telle administration. Dans bien des cas, celles-ci seront responsables car elles auront négligé leur niveau de sécurité, mais il y aura aussi des situations où rien de plus ne pouvait être fait pour empêcher le problème. 

Les citoyens doivent évidemment tirer parti du numérique, mais ils ne doivent pas en être l’esclave. Le numérique doit demeurer un outil au service de l’homme qui doit pouvoir continuer à vivre, travailler, en cas de défaillance d’un service informatique. Ce ne sera pas chose aisée lorsqu’on observe les milliers de commentaires parfois surprenants d’utilisateurs de plateformes qui « ont le malheur » de connaître un dysfonctionnement, souvent temporaire et très bref. 

Avec une sensibilisation à la notion de risque dans le cyberespace, mais également en développant un enseignement en informatique accessible à tous (notions de base sur le fonctionnement et pas que sur l’utilisation qui met à l’écart le citoyen de la compréhension complète de l’outil utilisé), les futures défaillances numériques pourraient être acceptées plus facilement par les citoyens. La panique, le chaos, ne deviendraient que des hypothèses extrêmes et cela renforcerait la vie démocratique des Etats.  

Tribune publiée initialement le 22 mai 2014 pour le Huffington Post Québec (http://quebec.huffingtonpost.ca/maxime-pinard/citoyen-cyber-risque-danger-democratie_b_5358786.html)

mardi 20 mai 2014

L’inefficace arme judiciaire américaine contre le cyberespionnage chinois

L’information a largement de quoi surprendre. On était habitué jusqu’à présent à des échanges, parfois musclés, entre les Etats-Unis et la Chine sur les questions de cyberespionnage via la voie diplomatique ou via des fuites savamment diffusées dans la presse américaine. Mais pour la première fois dans l’histoire (encore jeune il est vrai) du cyberespace, un pays choisit (mais est-ce réellement le cas ?) l’arme judiciaire pour défendre ses intérêts.

Ainsi, le 19 mai, le département américain de la Justice a annoncé l’inculpation de cinq militaires chinois, accusés d’avoir piraté des systèmes informatiques d’entreprises américaines travaillant dans des secteurs sensibles comme le nucléaire. Parmi les 31 chefs d’accusation, Il leur est également reproché d’avoir pratiqué de l’espionnage économique de 2006 à 2014 afin d’avoir un avantage concurrentiel lors de négociations de contrats avec des entreprises américaines, ce qui, selon le document du département de la Justice (http://www.justice.gov/opa/pr/2014/May/14-ag-528.html), nécessite une « réponse agressive ». 

Dans ce même document, le procureur américain pour le district Ouest de la Pennsylvanie déclare : « ce cambriolage du 21ème siècle doit cesser ». De même, il est rappelé que la bonne marche de l’économie mondiale doit reposer sur « la capacité d’une entreprise à innover » et non « à utiliser la voie de l’espionnage ». 

Si l’on oubliait un instant les révélations de Snowden, on pourrait penser que les Etats-Unis sont une victime de la puissance cybernétique chinoise qui tirerait son pouvoir de ses seules capacités d’espionnage. Une vision manichéenne serait facile à présenter, mais il est évident que dans le cas présent, les choses sont radicalement différentes. 

Grâce au risque pris par l’ancien analyste de la NSA Edward Snowden, on sait aujourd’hui que les Etats-Unis ont abusé (et abusent encore !) de façon massive de leur puissance dans le cyberespace. Les différents programmes d’écoutes, d’interception de communication, de collectes massives de données ont démontré de façon irréfragable que les Etats-Unis n’étaient pas ce bienfaiteur d’Internet, soucieux de faire de ce dernier un vecteur pour la démocratie et un moyen d’assurer la paix. Ils ont fait de cet outil un moyen d’assurer, voire même de renforcer leur softpower (et sans doute plus tard leur smartpower), bafouant les principes démocratiques, trahissant la confiance vis-à-vis de leurs alliés (en écoutant les communications de dirigeants) avec deux objectifs : assurer la sécurité de leurs citoyens et défendre les intérêts économiques de leurs entreprises. 

C’est pourquoi on ne peut s’empêcher de souligner le « culot » de cette déclaration de justice qui donne l’impression que « la victime » serait étrangère à tout ce qui est reproché aux « accusés ». La déclaration pourrait être quasi identique si les rôles avaient été inversés et que des militaires américains avaient été mis en accusation par la justice chinoise. 

En réalité, il y a peu de chances que cette initiative débouche sur quelque chose de concret. La Chine a déjà répondu à cette menace, qualifiant les charges de « fabriquées » et mettant en garde contre la pérennité de la « coopération et de la confiance » entre les deux Etats. D’ores et déjà, le groupe de travail sino-américain sur la sécurité informatique (que nous avions présenté dans de précédents papiers comme structurellement inefficace) est suspendu. 

Le problème est que toutes les puissances, à partir du moment où elles disposent des moyens techniques, financiers et humains suffisants, se livrent aux mêmes pratiques que les Etats-Unis et la Chine. En profitant des immenses possibilités que recèle le cyberespace, elles se livrent à une intense guerre économique, et les Etats-Unis qui étaient il y a encore quelques années les leaders, se voient contestés leur avance par la Chine entre autres. 

A cette guerre économique s’ajoute clairement une guerre de l’information. Selon le Washington Post, le pillage informatique des Etats-Unis coûterait entre 24 et 120 milliards de dollars par an… Autant dire que l’écart est suffisamment important entre les deux valeurs pour s’interroger sérieusement sur la manière employée pour compter les pertes. Dans le même esprit, de nombreux médias ont fait le rapprochement entre ces accusations pour le moins ciblées (les photographies des officiers chinois sont visibles par le monde entier !) et le rapport de la société de sécurité américaine Mandiant qui avait fait beaucoup de bruit l’an passé. En effet, pour la première fois, une entreprise parvenait à localiser avec une précision stupéfiante les auteurs de cyberattaques à des fins de cyberespionnage (ils étaient membres de l’Unité 61398 dont les locaux étaient situés dans les environs de Shanghaï).

Dans un précédent billet, nous avions émis quelques doutes quant à l’exactitude de ce rapport, qui n’est pas exempt de défaut et qui peut laisser à penser qu’il était avant tout un bon moyen de pression (en terme de communication) des Etats-Unis sur la Chine, à la veille (on était en 2013) de rencontres importantes sur la cybersécurité. Si le rapport avait été aussi précis techniquement qu’il a été puissant médiatiquement (du moins pendant un temps), il est à peu près certain qu’il y aurait eu davantage de remous dans les relations sino-américaines. 

Ce à quoi on assiste aujourd’hui, c’est à une guerre de l’ombre, faite de pressions diplomatiques, de coups médiatiques (comme l’est cette menace judiciaire) et d’espionnage économique à grande échelle. Si l’on cherchait à voir le problème autrement, on devrait plutôt s’inquiéter du succès de ces opérations de cyberespionnage. Lorsque la première puissance militaire au monde se fait dérober les plans de types d’armements sensibles, on est en droit de s’interroger sur ses capacités en termes de cybersécurité et de cyberdéfense. Certes, ces dernières ne sauraient être des barrières ultimes contre les menaces extérieures qui profiteront toujours de l’effet de surprises, mais à coup sûr, elles peuvent sensiblement être améliorées. 

Attendons la prochaine attaque médiatique : on peut gager qu’incessamment sous peu, la Chine va se plaindre de cyberattaques américaines visant ses intérêts économiques. Et ce sera de bonne guerre ! Mais le système d’espionnage perdurera, peu importe les soubresauts tels que celui présenté le 19 mai.