dimanche 25 septembre 2016

Vers une recrudescence des cyberattaques étatiques de grande ampleur ?

La société américaine Yahoo! vient de confirmer l’information : l’entreprise de portails sur Internet, l’une des plus connues et dont les services sont utilisés par des millions d’utilisateurs dans le monde a reconnu avoir subi une cyberattaque de grande ampleur qui a touché plus de cinq cent millions de comptes clients. Imaginons l’ensemble des citoyens européens dont les données d’identification (nom, prénom, date de naissance, etc…) auraient été dérobées par une entité dont on ne sait rien pour l’instant, si ce n’est qu’elle serait capable avec quelques outils facilement trouvables sur Internet d’usurper l’identité de chacun. 

L’ampleur de l’attaque est inquiétante, d’autant plus que plusieurs éléments dans le déroulement de cette opération méritent d’être questionnés. Selon les premières informations disponibles, les données dérobées dateraient de 2014, ce qui conduit à deux remarques, entre celui qui voit le verre à moitié plein et l’autre à moitié vide. En effet, certains lecteurs seraient tentés de minimiser l’importance de cette cyberattaque puisque les données datent de plus de deux ans et qu’il est probable qu’une partie d’entre elles soient obsolètes si les utilisateurs respectent les consignes de base de la vie numérique en changeant fréquemment leur mot de passe. 

Seulement, d’un autre côté, on peut être surpris par le temps qu’il a fallu pour repérer cette cyberattaque, près de deux ans, ce qui a permis à ses auteurs de se livrer à des activités criminelles à l’ombre de la surveillance des services de sécurité de Yahoo!. Précisons que la révélation de la cyberattaque ne vient pas directement de Yahoo! mais de sites spécialisés, le site Motherboard en août et le site Recode cette semaine, le premier ayant dans un premier temps fait une estimation plus faible de l’ampleur de la cyberattaque (deux cent millions de comptes tout de même !).

Les données volées se retrouvent facilement sur le Darknet, où elles se moyennent quelques bitcoins, soit quelques milliers d’euros. Le contraste est saisissant entre l’impact médiatique et économique d’une telle cyberattaque pour Yahoo! et le modeste coût des données vendues par la suite. Notons que cette vente en ligne n’est que la pointe de l’iceberg, car les données ont sans doute servi pendant ces deux dernières années à des usurpations d’identités aux conséquences économiques et humaines facilement imaginables. 

Yahoo! évoque l’action « d’une entité liée à un Etat », ce qui paraît très probable même s’il faut être prudent, les détails techniques de la cyberattaque n’étant pas encore accessibles. Plusieurs éléments accréditent cette hypothèse cependant : l’ampleur de l’attaque, le fait de s’en prendre à une cible puissante dans le cyberespace qui a en théorie les moyens de limiter les actions néfastes à son encontre et enfin la discrétion avec laquelle sont parvenus à opérer les hackers, puisqu’il a fallu plus de deux ans pour repérer leur méfait. Cela doit nous rappeler un des slogans que l’on entend souvent dans le milieu de la lutte contre la cybercriminalité : « la question n’est plus de savoir si mais quand vous serez victimes de pirates informatiques ». 

La vraie faiblesse pour les entreprises réside dans leur prise de conscience tardive d’une cyberattaque, ce qui est encore malheureusement très fréquent dans de nombreuses entreprises touchées. Pour accréditer davantage la piste d’un Etat ou d’une entité liée à un Etat, il semble très probable, même si encore une fois nous n’avons pas les détails techniques à disposition, que les hackers ont développé des outils techniques spécifiques pour pénétrer les serveurs de données de Yahoo!, le tout sans se faire repérer. Il convient donc d’écarter la piste d’une attaque consistant à forcer directement les sécurités des serveurs, ce qui aurait déclenché des alertes, ainsi que la piste d’une faille humaine en interne, car il aurait fallu à son auteur des droits d’accès d’une importance plus que majeure. 

Cette cyberattaque, aussi massive soit-elle en termes de dégâts médiatiques, économiques et en termes de confiance pour les utilisateurs, est tout sauf une nouveauté. De nombreuses entreprises liées aux réseaux sociaux mais pas seulement ont subi ces dernières années des piratages touchant des millions d’utilisateurs, comme le réseau social Linkedin ou la société spécialisée dans le cloud Dropbox. A chaque fois, le vrai perdant est l’utilisateur qui voit ses données perdre toute protection et se retrouver entre des mains criminelles, sans pouvoir se retourner contre les sociétés chez qui il a accordé sa confiance. A l’heure où les applications disponibles dans les smartphones scrutent chaque instant de nos vies, stockent des souvenirs, nous conseillent à l’aide d’algorithmes puissants, les sociétés éditrices deviennent des proies de choix et leurs clients les témoins et les victimes de cette guerre visible partiellement.

Il est fort probable que les Etats vont multiplier et amplifier leurs cyberattaques via des entités qu’elles contrôlent, afin que leur responsabilité directe ne soit pas prouvée. Rappelons que dans le cyberespace, il est extrêmement difficile (mais pas impossible contrairement à ce qu’on lit souvent) de retrouver les auteurs de cyberattaques. Cela nécessite des moyens financiers et humains conséquents, et bien souvent, on ne sait qu’au bout de plusieurs années qui était à l’origine de l’action. 

Les Etats-Unis sont à aujourd’hui la première puissance du cyberespace, profitant de leurs géants numériques que sont les GAFA et toute une galaxie de sociétés puissantes aux millions d’utilisateurs pour affirmer leur smart power numérique. En s’en prenant à ces sociétés, d’autres Etats cherchent ainsi à affaiblir la puissance américaine, les utilisateurs étant amenés à douter de la sécurité des prestataires choisis pour la protection des données. 

De nombreux articles évoquent les actions de la Chine et de la Russie dans la guerre numérique globale que se livrent de nombreux acteurs de nature différente dans le cyberespace. Rappelons qu’à de très rares fois leur implication a été formellement validée, mais qu’elles entretiennent également un double langage, niant les attaques tout en détaillant de manière savamment orchestrée leurs capacités offensives. La Russie a ainsi été accusée dernièrement de piratages des données du camp démocrate lors de la campagne américaine tandis que la Chine est souvent pointée du doigt pour des vols massifs de secrets industriels. Certes, cette dernière a passé un pacte de bonne conduite avec les Etats-Unis sous l’impulsion d’Obama et aux dires des Américains, ce serait une réussite, mais on peut légitimement penser qu’il ne s’agit pas d’un pacte de non-agression mais plutôt de limites fixées dans chaque camp. 

De nombreux Etats développent des capacités offensives numériques, mais peu sont à même d’infliger des dégâts massifs. Citons les Etats-Unis, la Chine, la Russie et Israël dont plusieurs initiatives sont largement documentées et doivent nous inquiéter au plus haut point. Même si la cyberattaque contre Yahoo! est source de dégâts importants, ce n’est rien lorsque des services administratifs étatiques seront touchés avec la même intensité (ils l’ont déjà été mais à des niveaux beaucoup plus faibles). Imaginons un instant les services médicaux d’un pays touchés par une cyberattaque massive dont l’objectif serait de supprimer les données des utilisateurs, les services administratifs pour les retraites où les bénéficiaires ne pourraient être payés avant plusieurs mois, le temps de rétablir l’ensemble des données. Ce n’est pas de la science-fiction mais bien des scénarii qui sont à portée de claviers d’entités étatiques déjà existantes. 

Il n’y a pas de solution magique à cette fragilisation et à cette insécurité croissante du cyberespace. Les entreprises ont encore une marge conséquente pour progresser dans leur gestion des cyberattaques, mais elles seront toujours en position de défenseur face à des Etats aux rôles d’assaillants qui auront l’avantage tactique. Dans ce cyberespace incertain, on ne peut que conseiller d’y laisser le moins d’informations sensibles possibles et au final, de stocker en local ces dernières. 

C’est un des paradoxes d’Internet : à l’heure d’un accroissement de la dématérialisation de nos données privées, le risque de voir dérobées ces dernières n’a jamais été aussi fort et doit nous inciter à la prudence, car les conséquences des cyberattaques ne peuvent aller qu’en augmentant dramatiquement. 


                 Tribune publiée initialement pour le Huffington Post Québec le 23 septembre 2016

Aucun commentaire:

Enregistrer un commentaire