mardi 16 mai 2017

Wannacry : un cyber-braquage à la fois hors-norme et d’un classicisme certain

Depuis trois jours, les médias du monde entier traitent en boucle ce qu’ils qualifient comme la plus importante cyberattaque qu’ait connu le monde jusqu’à présent. Les adjectifs apocalyptiques sont utilisés à foison, laissant malheureusement trop de place à la réaction à chaud au lieu de la mise en perspective de cette cyberattaque qui, même si elle est impressionnante par son champ d’action, mérite d’être considérée pour ce qu’elle est, à savoir une tentative à l’échelle mondiale de demande de rançon via le biais numérique. 

Pour rappel, des hackers sont parvenus à contaminer des entreprises, des hôpitaux, des ministères et d’autres entités dans le monde entier (on parle de deux cent mille postes touchés dans une centaine de pays, mais ces chiffres sont amenés à évoluer) via un ransomware appelé Wannacry, logiciel chiffrant l’ensemble des données d’un ordinateur et exigeant une rançon pour obtenir la clé permettant de déchiffrer et de récupérer ces données. D’après les premiers éléments disponibles, ce logiciel a pu se développer rapidement et à grande échelle grâce à une faille dans le système d’exploitation Windows (les versions anciennes sont principalement concernées). 

Ce qui est nouveau par rapport aux autres cas de ransomware, c’est qu’il semble bien que la connaissance de la faille utilisée soit due à la diffusion non autorisée en avril dernier par un groupe de hackers d’outils utilisés par la NSA, l’agence de renseignement américaine. Cela a fait dire à certains que la NSA était en partie responsable de cette cyberattaque et qu’elle aurait dû avertir la société Microsoft, éditrice du logiciel Windows, de l’existence de cette faille dès sa découverte afin qu’elle soit corrigée et que les utilisateurs soient protégés. Ainsi, l’ex consultant de la NSA Edward Snowden a dénoncé sur Twitter le comportement de la NSA, allant même jusqu’à dire que rien de tout cela ne se serait passé si la NSA avait une politique de communication des failles. Il a été rejoint dans sa démarche par des représentants de Microsoft, dont Brad Smith, le directeur juridique du groupe qui n’a pas hésité sur son blog à dramatiser à l’excès l’événement, se risquant à comparer cette affaire cybernétique à un vol de missiles… Microsoft a dans le même esprit demandé aux gouvernements de ne pas cacher les failles qui seraient découvertes et cherche à mobiliser les différents acteurs du cyberespace en vue de la mise en place d’une pratique de bonne conduite en matière de publication des failles. 

Il nous semble de notre côté que ces arguments, bien que d’apparence évidente et par certains aspects moraux, ne répondent pas à la réalité stratégique du cyberespace. Que la NSA ou d’autres services de renseignement dans le monde aient des équipes développant des outils numériques afin d’être efficaces dans le cyberespace qui devient un théâtre d’opération à part entière, cela n’a rien de choquant, bien au contraire. La découverte et l’exploitation des failles dites « zero day » est nécessaire pour mener des activités de renseignement afin de récupérer des informations sur le poste informatique de telle ou telle personne surveillée. Concernant ces failles justement, c’est le travail des éditeurs de logiciels que de les repérer et de concevoir les correctifs. Dans le cas présent, Microsoft a été très réactif mais il ne peut être le seul acteur des mises à jour pour protéger les systèmes informatiques. Les utilisateurs et les responsables informatiques dans les entreprises doivent être attentifs à cette démarche. Notons au passage que Microsoft a dû revoir sa politique de suivi technique car le système principalement touché, Windows XP, n’était plus en théorie suivi par les équipes techniques. 

Cela pose d’ailleurs deux problèmes majeurs : il y a en premier lieu le temps nécessairement long à de grandes entreprises ou des administrations pour migrer leurs systèmes informatiques vers des versions plus récentes. Cela représente des coûts humains et financiers très conséquents avec le risque d’un système parfois instable, et donc beaucoup de structures privilégient un système maîtrisé bien qu’ancien. Deuxièmement, il y a aujourd’hui dans le cyberespace ce qu’on appelle une fragmentation des systèmes d’exploitation. Le problème est manifeste pour les smartphones où par exemple de très nombreuses versions d’Android cohabitent avec le risque réel de failles de sécurité pour des versions qui n’ont parfois que deux ou trois ans. C’est lié aussi et avant tout à une logique économique des fabricants de produits technologiques qui n’assurent qu’un suivi trop bref de la couche logicielle de leurs produits pour deux raisons : le suivi technique représente un coût financier important et cela pousse le consommateur à changer plus rapidement de smartphone ou d’ordinateur afin d’avoir un produit à jour et sûr. A ce sujet, notons qu’un des problèmes posés concerne donc l’obsolescence programmée qui n’est donc pas que physique (durée de vie des composants) mais aussi logique (via les logiciels).   

Face à ce cyber-braquage, que faire ? Les autorités rappellent les principes de base de l’hygiène informatique : cela va de la sauvegarde de ses données sur des supports déconnectés d’Internet à la suspicion constante vis-à-vis des courriels. C’est de bon sens, mais ces mesures ne sauraient être efficaces à 100% et elles demandent une logistique chronophage. La réalité est que contre ce genre de pratiques très courantes (les ransomware touchent des milliers d’utilisateurs chaque jour dans le monde), il n’y a pas de solution miracle. Seule une réflexion sur la sécurité de l’information que l’on détient pourra conduire à de meilleures pratiques. Une tendance de fond pousse de plus en plus les entreprises, les administrations, les services publics tels que les hôpitaux à migrer vers des solutions tout numériques. Il y a certes des avantages financiers évidents, mais si on replace ces derniers dans un tout, avec le risque de perdre ses données à la moindre cyberattaque, la question de ce qui doit être absolument ou pas informatisé doit être systématiquement posée. Sans aller à l’extrême avec un retour au papier et au crayon, il faudrait davantage penser en « monde clos » les réseaux informatiques vitaux des structures pour limiter le risque de chiffrement de ses données à son insu. Cela peut passer par des systèmes d’exploitation reposant sur des versions retravaillées de Linux par exemple, de pare-feux plus performants, d’une limitation plus drastique de l’utilisation des outils de communication sur les postes informatiques (mails, réseaux sociaux). Rappelons que bien souvent la cyberattaque réussit grâce à une faille humaine : un employé crédule qui ouvre un courriel, un autre qui protège mal son ordinateur, un autre qui navigue sur les réseaux sociaux alors qu’il a accès en direct par ailleurs à des informations sensibles. La liste des possibilités est très longue malheureusement, et les utilisateurs doivent s’habituer à ne pas avoir une confiance aveugle dans leurs systèmes informatiques. Cela peut paraître surprenant à première vue, mais ces derniers sont bien plus vulnérables que nous ne le pensons.   

Il y a un risque réel que les auteurs de Wannacry poursuivent leurs méfaits avec des versions modifiées du logiciel pour échapper à la détection des solutions de sécurité informatique, mais je ne crois pas au « cyber-chaos » avancé par certains. Il y a aujourd’hui de nombreux experts qui cherchent des failles dans le logiciel des hackers afin de développer des contre-mesures pour le bloquer efficacement. Qu’il y ait encore des utilisateurs touchés par ce ransomware, c’est évident, mais ce seront surtout des utilisateurs qui n’auront pas fait les mises à jour de leurs systèmes. Concernant les hackers responsables de l’opération, on ne sait rien d’eux pour l’instant. Leur motivation peut être pécuniaire, même si dans le texte affiché par le programme, il y a quelques passages laissant supposer un certain détachement concernant cette dimension financière. Leur stratégie ne nous semble pas être liée à des cibles précises si l’on se réfère à l’hétérogénéité des entreprises et autres structures touchées. Sans doute cherchent-ils à semer la « pagaille » dans le cyberespace et de ce point de vue, c’est réussi, même pour un bref moment. A moins d’erreurs grossières de leur part, il est peu probable qu’ils soient retrouvés rapidement car leurs outils leur confèrent un réel anonymat. Les autorités doivent essayer malgré tout de les appréhender afin d’éviter un appel d’air pour d’autres groupes de hackers qui y verraient une formidable occasion de gagner de l’argent illégalement en toute impunité.  

Pour conclure, l’affaire Wannacry rappelle à chacun la fragilité de nos systèmes informatiques sur lesquels pourtant nous déposons toujours plus de données sensibles sans prendre conscience qu’elles peuvent nous être inaccessibles en quelques minutes. Pour autant, avec une bonne « hygiène informatique », on peut éviter la plupart de ces cyberattaques très fréquentes et qui ont vocation à croître. Wannacry est en fin de compte une opération très classique qui a su être menée au bon moment (veille de week-end) avec un bon canal (une faille de sécurité affectant des millions de postes) pour devenir à la fois un événement cybernétique important, mais aussi un événement médiatique impressionnant. 

Tribune publiée initialement pour le Huffington Post Québec le 16 mai 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/wannacry-un-cyberbraquage_b_16628234.html)