« La cybersécurité sans clichés avec Rayna Stamboliyska » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
(Contenu remplacé par « Catégorie:Transcriptions Publié [https://www.librealire.org/la-cybersecurite-sans-cliches-avec-rayna-stamboliyska ici] - Août 2021 »)
Balise : Contenu remplacé
 
(7 versions intermédiaires par 2 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
[[Catégorie:Transcriptions]]
[[Catégorie:Transcriptions]]


'''Titre :''' La cybersécurité sans clichés
Publié [https://www.librealire.org/la-cybersecurite-sans-cliches-avec-rayna-stamboliyska ici] - Août 2021
 
'''Intervenant·e·s :''' Rayna Stamboliyska - Cantine brestoise
 
'''Lieu :'''  La Contine numérique de Brest
 
'''Date :''' 28 juin 2021
 
'''Durée :''' 23 min 34
 
'''[https://www.lacantine-brest.net/wp-content/uploads/2021/06/stamboliyska_1.mp3 Podcast]'''
 
'''[https://www.lacantine-brest.net/11-cybersecurite-sans-cliches-avec-rayna-stamboliyska/ Page de présentation du podcast]'''
 
'''[https://www.a-brest.net/article24968.html Page de a-Brest]
 
'''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
 
'''Illustration :'''
 
'''NB :''' <em>transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.<br/>
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.</em>
 
==Transcription==
 
<b>Voix off : </b>An Daol Vras, La Cantine numérique de Brest reçoit Rayna Stamboliyska autrice de <em>La Face cachée d’Internet : comprendre les enjeux du numérique</em> paru en 2017. Cet entretien étant un peu plus long que d’habitude, nous l’avons découpé en deux parties. La première, que vous pourrez écouter ici, concerne principalement la sécurité ; la seconde, qui suivra, concerne plus particulièrement la régulation des activités du numérique, notamment au niveau européen. Bonne écoute !
 
<b>Cantine numérique : </b>Bonjour Rayna Stamboliyska. Merci beaucoup de nous accorder de ton temps. Bienvenue.
 
<b>Rayna Stamboliyska : </b>Bonjour et merci pour l’invitation.
 
<b>Cantine numérique : </b>Tu es vice-présidente de YESWEHACK, anciennement tu étais RSSI [Responsable de la Sécurité des Systèmes d'Information] et puis tu as aussi des talents de hacker de l’Internet des objets. Est-ce que ça résume toutes tes fonctions, toutes tes qualités ou as-tu encore des talents cachés ?
 
<b>Rayna Stamboliyska : </b>Tu as oublié de parler de mes tweets intempestifs et sensiblement « trollifères », de mon dernier livre qui a plein de blagues pourries dedans. Quoi d’autre ? De mes talents en cuisine.
 
<b>Cantine numérique : </b>On est là pour parler du livre en fait.<br/>
De tes talents en cuisine peut-être à la fin, mais on va déjà commencer par le livre. Tu as sorti, en 2017, <em>La Face cachée d’Internet : comprendre les enjeux du numérique</em>, dans lequel cette fameuse face cachée d’Internet, le terrible dark-web que tu démontes allégrement et où tu démontres surtout les phantasmes qui se cachent derrière ce mot fourre-tout. D’un côté tu le démontes, mais de l’autre côté tu n’hésites pas à fournir les outils qui permettent de se protéger ou de tenter de se protéger contre les risques qui, eux, sont bien avérés.
 
<b>Rayna Stamboliyska : </b>Tout à fait. Si tu veux, l’idée de <em>La Face cachée</em> était de parler, justement de mettre en évidence, de démystifier des choses qui aujourd’hui, toujours, et je ne pense pas que ça s’arrête de sitôt, continuent à être complexes qu’on a limite l’impression que c’est magique alors que j’ai toujours soutenu la position si on veut, pour ne pas dire la thèse, mais la position que l’espace numérique n’est que, en fait, une extension de ce que nous faisons, de nos vies, de nos activités, de nos intérêts, de nos tares, vices, ce que tu veux. En fait, en ce sens-là, ce n’est rien de particulièrement spectaculaire si ce n’est une cristallisation, une amplification de comportements et d’activités qui existent déjà. Effectivement, ce terme fourre-tout de dark-web, darknet, machin, que beaucoup de gens aiment bien...
 
<b>Cantine numérique : </b>Deepweb.
 
<b>Rayna Stamboliyska : </b>Oui, deep, machin, bleu à pois jaunes, je n’en sais rien, en fait c’est vraiment un peu l’espèce de cristallisation de choses qui nous dépassent, finalement, dont on peine à se saisir, ce qui fait qu’on n’arrive pas nécessairement à comprendre ce qui nous entoure, ce qui nous menace, ce qui est une opportunité, etc. En fait, on est un peu dans une posture de pétrifié, de peur, parce que, justement, cette partie-là du monde nous dépasse. Donc c’est un peu ce que j’ai essayé de faire d’une façon on va dire plutôt accessible, vu les nombreuses rééditions y compris en poche, les prix, l’accueil plus que chaleureux de la part de toutes sortes de personnes avec toutes sortes de niveaux d’expertise, je me dis que le pari a été réussi.<br/>
En fait, la question c’est comment est-ce qu’on continue, si tu veux, cet effort-là de déconstruction de trucs compliqués et complexes.
 
<b>Cantine numérique : </b>Sans les dénaturer au passage.
 
<b>Rayna Stamboliyska : </b>Sans nécessairement les dénaturer, sans les réduire, sans être réductionniste, vulgaire, quand on fait de la vulgarisation, de la médiation, on n’a pas besoin d’être réductionniste. Je n’ai jamais voulu prendre les gens pour des imbéciles et j’estime, effectivement, que caricaturer des propos c’est prendre les gens pour des imbéciles.<br/>
Donc la question aujourd’hui, bientôt quatre ans après, c’est quelle est la capacité d’assurer une telle continuité ? Les sujets que j’ai traités, en fait, ont évolué dans les détails.
 
<b>Cantine numérique : </b>La technique donne l’impression que tout évolue.
 
<b>Rayna Stamboliyska : </b>Et ce n’est pas faux dans le sens où tu as, effectivement, une évolution technologique qui est extrêmement présente voire spectaculaire parfois, mais l’aspect socio-économique, si on veut, tu avais des tendances que j’avais vues en écrivant <em>La face cachée</em>, en fait aujourd’hui ce sont des modèles économiques de cyberdélinquance, etc. Que ce soit sur telle messagerie instantanée, sur tel site web, sur tel forum mal ???, si tu veux, ce n’est pas le sujet. Le sujet est qu’aujourd’hui ces problèmes-là persistent, s’enracinent, deviennent de plus en plus complexes à maîtriser et en fait on a de moins en moins aussi la capacité de poursuivre un effort de sensibilisation mais pas seulement, vraiment de maîtrise, d’« encapacitation » des gens.
 
<b>Cantine numérique : </b>Au niveau individuel ?
 
<b>Rayna Stamboliyska : </b>Parce que trop souvent on repose sur l’individuel pur. Tout ne peut pas reposer sur l’individuel pur. Je ne sais plus qui avait twitté ça un jour, ça m’avait marqué comme idée, c’est qu’on en est à essayer d’apprendre aux gens à se méfier de leurs propres pour ne pas cliquer sur un lien ; ça prend des proportions hallucinantes. Et cette continuité-là de pédagogie, plus que de sensibilisation, on ne parvient pas à la faire, pour plein de raisons.
 
<b>Cantine numérique : </b>Les représentations n’ont pas changé en fait, on est toujours pétrifié, comme tu le disais, peut-être un peu différemment, mais finalement on se sent toujours démuni ou on s’estime souvent démuni, donc on fait soit appel à des ressorts individuels permanents, tu le décris bien, une sorte de paranoïa ou, au contraire, on demande à la législation de tout prévoir, de tout bloquer.
 
<b>Rayna Stamboliyska : </b>Effectivement. Tu as les deux extrêmes on va dire. Bien sûr qu’il y a une part de responsabilité individuelle. La question est comment elle est encadrée, comment elle est suivie, parce que si tu n’as jamais vu quelqu’un qui a cliqué sur un lien problématique et qui, en fait, a été un peu mis en porte-à-faux parce qu’il y a eu un incident de sécurité derrière, ou un incident s’est presque déclaré, tu n’imagines pas le traumatisme de la personne. Il ne s’agit pas juste de dire « soyez paranos », ce n’est pas viable, ce n’est pas pérenne. Tu ne peux pas te contenter de leur montrer, aussi bien fait soit-il, le MOOC de l’ANSSI, le SecNumacadémie et te dire « je leur ai dit d’aller voir ça et c’est bon ». Non ! Ce n’est pas « bon » !
 
<b>Cantine numérique : </b>Vous passez deux/trois semaines là-dessus et vous serez...
 
<b>Rayna Stamboliyska : </b>Non, ce n’est pas bon, encore une fois, parce que trop souvent les problèmes arrivent par, ressemblant à tous points, à des messages légitimes, etc. Après tu as une vraie fracture numérique. Il n’y a pas longtemps j’intervenais sur un plateau télé et avant on passe au maquillage. On commence à discuter avec la maquilleuse, « vous êtes là pourquoi ? — Je vais parler enjeux du numérique, méchants pirates et tout ça ». Elle me dit « c’est vachement bien, c’est super bien que vous parliez de ça parce que, vous savez, on est de plus en plus responsabilisés pour gérer certains aspects administratifs, etc. », elle me dit « vous vous rendez compte, il y a des gens qui ne savent pas envoyer une pièce jointe dans un mail ! » Effectivement, je ne m’en rends pas nécessairement compte parce que c’est mon quotidien !<br/>
Mais tu vois, tu as effectivement des gens qui ne sont pas, on va dire, des personnes qui ont 90 ans, qui n’ont jamais vu un ordi ou un smartphone. Ce sont des gens qui ont 45 ans, qui habitent en plein Paris, qui ont Instagram, Twitter, TikTok, machin, bidule, donc des gens qui ont les moyens de se permettre un <em>device</em>, un smartphone, etc., souvent qui ont des enfants à qui il a fallu faire l’école à la maison et, en fait, ces gens-là qui sont tellement habitués à certains modes de communication telle la messagerie instantanée ou des choses comme ça qu’en fait ils sont complètement sortis d’un circuit on va dire administratif, etc., dont dépend, finalement, leur vie professionnelle. Et qui rattrape ces gens-là ? Et c’est là où la responsabilité individuelle c’est bien joli, mais ça ne va pas très loin. En fait ça va être aux collègues !
 
<b>Cantine numérique : </b>C’est ça. Ce n’est pas juste lié à l’éloignement, je n’ai jamais touché un appareil informatique, etc. Non. Là au contraire, tu pourras me contredire, mais c’est un usage passif quelque part qui, du coup, ne donne aucune capacité aux gens, en tout cas pas celles qui sont nécessaires pour, finalement, sécuriser leur travail, leur quotidien.
 
==11’ 35==
 
<b>Rayna Stamboliyska : </b>Tout à fait. Ne serait-ce que se projeter dans une situation – je reprends ton autre extrémité, l’aspect législatif – et c’est assez positif dans le sens où on essaye de plus en plus de mettre des mots sur des choses qui sont propres à l’opérationnel, à l’industriel, à du très technique au sens technologique. En fait, on essaye d’expliquer comment des choses devraient fonctionner, comment je protège les données de santé, en faisant des certifications, des choses comme ça. On essaye de mettre des mots et de s’accorder sur des critères communs pour vivre ensemble une vie connectée, en société. Sauf que c’est là on a une autre fracture qui s’opère, qui était déjà existante avant que le numérique devienne un sujet de société parce qu’il l’est, qui est la fracture entre ceux qui font la loi et le « quidam lambda » entre guillemets. Aujourd’hui combien de gens savent aller chercher nativement, de façon spontanée, quelque chose sur le <em>Journal officiel</em> ?
 
<b>Cantine numérique : </b>Ou Légifrance.
 
<b>Rayna Stamboliyska : </b>Ou Légifrance, etc. Donc cette espèce de gap, ce fossé s’est creusé pendant des années, etc., qui est difficile à rattraper parce qu’il y a toujours, en fait, un problème de continuité des efforts. Aujourd’hui on arrive à la jonction de deux trucs atrocement complexes qui sont, d’une part, l’aspect technologique que ce soit numérique ou que ce soit cyber.
 
<b>Cantine numérique : </b>Omniprésent.
 
<b>Rayna Stamboliyska : </b>Voilà. Et, de l’autre côté, avec du réglementaire que ce soit national ou supranational, européen, international, ce qu’on veut. Combien de gens je connais qui ne comprennent pas qu’elle est la différence entre l’OCDE, le Parlement européen et les Nations-Unies ! Tu te dis comment est-ce possible. ? Je ne sais pas !
 
<b>Cantine numérique : </b>Même en avoir une vision première, ça ne donne plus tous les détails, parce que quand on commence à creuser, il y a des finesses qui demandent du temps à acquérir et puis basés ces efforts-là. En face ils sont faits et on a vu ces risques évoluer. En ce moment c’est la grande mode des rançongiciels, des <em>ransomwares</em> qui fleurissent de partout, qui ont profité de notre ère Covid qui, on l’espère, va bientôt terminer ou, en tout cas, s’atténuer, de notre passage en tout visio et de notre faiblesse au niveau sanitaire pour attaquer en particulier les institutions sanitaires.<br/>
Comment analyses-tu ces nouvelles modes, ces nouveaux risques majoritaires ?
 
<b>Rayna Stamboliyska : </b>Le rançongiciel existait avant la crise. Encore une fois, on n’a pas assez d’approche systémique, si on veut, au sens d’une vision de système, qui nous permette de comprendre les différentes tendances. Ce n’est pas parce que c’est concomitant ou parallèle qu’il y a un lien de causalité. Tu as une situation où du rançongiciel ça existait avant, j’en ai parlé dans <em>La face cachée</em> en 2016, j’ai écrit ce chapitre-là fin 2016 ; l’aspect coercition a toujours existé. Les rançongiciels c’est une jonction de coercition, d’amplification qui est permise par le numérique.<br/>
À Noël je me suis rendu compte que des personnes âgées recevaient des lettres des témoins de Jéhovah adressées à leur nom, des lettres manuscrites. C’est assez particulier, c’est relativement quand même cruel, avouons-le, en tout cas je trouve ça assez moche de profiter d’une période d’incertitude, de fragilité, etc., pour, finalement, être un prédateur de personnes déjà en vulnérabilité. Passons ! Imagine ce truc-là amplifié x fois par le numérique au sens large, par une professionnalisation qui est là depuis des années, de tout ce qui est activité délinquante, opportuniste ! Tout d’un coup on a une situation de pandémie globale qui renforce la charge cognitive sur chacun et chacune de nous, se tenir informé, supporter effectivement un truc difficile qui s’installe, qui dure. Même pour des gens comme moi pour qui la gestion de l’incertitude est le métier, ce n’est pas évident, ça use ! On se retrouve dans une conjonction de cet ordre-là, et c’est ce que j’avais raconté aussi dans <em>La face cachée</em>, quand tu regardes la tendance surtout quand je pars avec un objectif opportuniste, la tendance est toujours la même : je vais là où il y a beaucoup de gens. Si c’est très difficile d’accéder à une messagerie, un forum, machin, ce n’est pas là que je vais faire beaucoup de thune. C’est pour ça, en fait, qu’il y a toujours ce truc qui persiste d’expliquer à mamie et papy que « oh ! Là, là, vous comprenez les cyber-machins sont très méchants, sont très compétents, ils vous en veulent personnellement ». Non !
 
<b>Cantine numérique : </b>Ils ont des capuches !
 
<b>Rayna Stamboliyska : </b>Non ! Pitié, Ils sont dans des caves. Franchement j’irais bien dans une cave vu la chaleur qu’il fait ! Tu vois ce que je veux dire, il y a, en fait ce côté opportuniste, c’est une tendance de fond, qui n’est plus du tout de fond, qui est une tendance mainstream, si on veut, depuis des années. Les premières offres d’emploi, premières professionnalisations pour ce qu’on appelle des métiers support, si tu prends le modèle de Porter, le modèle de comment fonctionne une entreprise, tu as le métier, le cœur de la valeur et tu as ce qu’on appelle les métiers support, ça va être la communication, le RH, l’administratif, etc., tout ce qui permet à ce que le cœur de création de valeur se développe. Il y avait déjà des offres d’emploi sur les forums de dark-web, etc., dès 2014 ou 2015. Beaucoup de gens les ont vus à un moment donné en disant « oh ! là, là, ça recrute ! », eh bien oui, parce que les gens se retrouvent dans une situation où le business grandit donc ils ont besoin d’enrichir les ressources, notamment humaines en termes de fonctions support. Aujourd’hui ça vient de plus en plus dans le langage courant, on va dire, le rançongiciel <em>as a service</em>, c’est-à-dire que tu as, en fait, une offre de SaaS à la limite, tu as plus ou moins un contrat de licence. En fait l’investissement de départ est tout à fait permissif, surtout si tu penses que tu n’as pas nécessairement de limitation de nombre de tentatives d’escroquerie que tu fais, etc. L’exemple que je donne souvent c’est imagine, j’investis 1 000 dans un <em>cryptolocker</em> et ça me permet de balancer sur 30 000 TPE, PME, associations, individus.
 
<b>Cantine numérique : </b>Il y en aura bien quelques-unes sur lesquelles ça va passer.
 
<b>Rayna Stamboliyska : </b>Même en demandant 300 chacune, à chaque entité ou personne affectée, sur les 10 000 s’il y en a cinq qui me répondent, à 300 euros chacune j’ai rentabilisé mon investissement et j’ai une marge qui n’est quand même pas dégueulasse.
 
<b>Cantine numérique : </b>Pour un effort qui n’est pas gigantesque non plus.
 
<b>Rayna Stamboliyska : </b>Et ça, ça a été très peu couvert, je trouve ça assez regrettable, dans la presse francophone l’année dernière. Ce n’était pas du rançongiciel mais c’était une fuite de données intérieures qui datait de 2018 en Finlande. Le prestataire de santé mentale des hôpitaux finlandais avait été victime d’une fuite de données justement dès 2018. En fait ils ne sont vraiment pas débrouillés pour prévenir les gens, etc. Le truc est sorti vraiment de façon très visible dans la presse notamment anglo-saxonne, parce que les délinquants qui ont été responsables de la fuite de données se sont retrouvés à chercher à faire du chantage d’abord à la boîte, au prestataire en question, puis à certains de ses employés et, à la fin, ils ont commencé, justement à l’automne 2020, à publier des données de patients et à contacter des patients individuellement pour leur dire « tu me payes 2000 balles, 1 000 euros, ou je mets les données de tes séances psy, etc. sur Internet à la disposition de tout le monde ». Toujours de la coercition .
 
<b>Cantine numérique : </b>Toujours le filon. Ils exploitent le filon le plus loin possible, etc.
 
<b>Voix off : </b>Voilà. Cette première partie est terminée. Nous vous donnons rendez-vous pour la suite très bientôt. Vous pouvez d’ores et déjà nous envoyer vos questions et commentaire soit par e-mail à l’adresse contact@lacantine-brest.net soit via Twitter @AnDaolVras.

Dernière version du 23 août 2021 à 09:20


Publié ici - Août 2021