La cybersécurité sans clichés avec Rayna Stamboliyska
Titre : La cybersécurité sans clichés
Intervenant·e·s : Rayna Stamboliyska - Josquin Debaz
Lieu : La Cantine numérique de Brest
Date : 28 juin 2021
Durée : 23 min 34
Page de présentation du podcast
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Josquin Debaz : An Daol Vras, La Cantine numérique de Brest, reçoit Rayna Stamboliyska autrice de La Face cachée d’Internet : comprendre les enjeux du numérique paru en 2017. Cet entretien étant un peu plus long que d’habitude, nous l’avons découpé en deux parties. La première, que vous pourrez écouter ici, concerne principalement la sécurité ; la seconde, qui suivra, concerne plus particulièrement la régulation des activités du numérique, notamment au niveau européen. Bonne écoute !
Bonjour Rayna Stamboliyska. Merci beaucoup de nous accorder de ton temps. Bienvenue.
Rayna Stamboliyska : Bonjour et merci pour l’invitation.
Josquin Debaz : Tu es vice-présidente de YESWEHACK[1], anciennement tu étais RSSI [Responsable de la Sécurité des Systèmes d'Information] et puis tu as aussi des talents de hacker de l’Internet des objets. Est-ce que ça résume toutes tes fonctions, toutes tes qualités ou as-tu encore des talents cachés ?
Rayna Stamboliyska : Tu as oublié de parler de mes tweets intempestifs et sensiblement « trollifères », de mon dernier livre qui a plein de blagues pourries dedans. Quoi d’autre ? De mes talents en cuisine.
Josquin Debaz : On est là pour parler du livre en fait.
On parlera de tes talents en cuisine peut-être à la fin, mais on va déjà commencer par le livre. Tu as sorti, en 2017, La Face cachée d’Internet : comprendre les enjeux du numérique, dans lequel tu démontes allégrement cette fameuse face cachée d’Internet, le terrible dark-web, et où tu démontres surtout les phantasmes qui se cachent derrière ce mot fourre-tout. D’un côté tu le démontes, mais, de l’autre côté, tu n’hésites pas à fournir les outils qui permettent de se protéger ou de tenter de se protéger contre les risques qui, eux, sont bien avérés.
Rayna Stamboliyska : Tout à fait. Si tu veux, l’idée de La Face cachée était de parler, justement de mettre en évidence, de démystifier des choses qui aujourd’hui, toujours, et je ne pense pas que ça s’arrête de sitôt, continuent à être tellement complexes qu’on a limite l’impression que c’est magique alors que j’ai toujours soutenu la position si on veut, pour ne pas dire la thèse, mais la position que l’espace numérique n’est que, en fait, une extension de ce que nous faisons, de nos vies, de nos activités, de nos intérêts, de nos tares, vices, ce que tu veux. En fait, en ce sens-là, ce n’est rien de particulièrement spectaculaire si ce n’est une cristallisation, une amplification de comportements et d’activités qui existent déjà. Effectivement, ce terme fourre-tout de dark-web, darknet, machin, que beaucoup de gens aiment bien...
Josquin Debaz : Deepweb.
Rayna Stamboliyska : Oui, deep, machin, bleu à pois jaunes, je n’en sais rien, en fait c’est vraiment un peu l’espèce de cristallisation de choses qui nous dépassent, finalement, dont on peine à se saisir, ce qui fait qu’on n’arrive pas nécessairement à comprendre ce qui nous entoure, ce qui nous menace, ce qui est une opportunité, etc. En fait, on est un peu dans une posture de pétrifié, de peur, parce que, justement, cette partie-là du monde nous dépasse. Donc c’est un peu ce que j’ai essayé de faire d’une façon, on va dire, plutôt accessible, vu les nombreuses rééditions y compris en poche, les prix, l’accueil plus que chaleureux de la part de toutes sortes de personnes avec toutes sortes de niveaux d’expertise, je me dis que le pari a été réussi.
En fait, la question c’est comment est-ce qu’on continue cet effort-là de déconstruction de trucs compliqués et complexes.
Josquin Debaz : Sans les dénaturer au passage.
Rayna Stamboliyska : Sans nécessairement les dénaturer, sans les réduire, sans être réductionniste, vulgaire ; quand on fait de la vulgarisation, de la médiation, on n’a pas besoin d’être réductionniste. Je n’ai jamais voulu prendre les gens pour des imbéciles et j’estime, effectivement, que caricaturer des propos c’est prendre les gens pour des imbéciles.
Donc la question aujourd’hui, bientôt quatre ans après, c’est quelle est la capacité d’assurer une telle continuité ? Les sujets que j’ai traités, en fait, ont évolué dans les détails.
Josquin Debaz : La technique donne l’impression que tout évolue.
Rayna Stamboliyska : Et ce n’est pas faux dans le sens où tu as, effectivement, une évolution technologique qui est extrêmement présente, voire spectaculaire parfois, mais l’aspect socio-économique, si on veut, tu avais des tendances que j’avais vues en écrivant La face cachée, en fait aujourd’hui ce sont des modèles économiques de cyberdélinquance, etc. Que ce soit sur telle messagerie instantanée, sur tel site web, sur tel forum mal CCSIsé si tu veux, ce n’est pas le sujet. Le sujet est qu’aujourd’hui ces problèmes-là persistent, s’enracinent, deviennent de plus en plus complexes à maîtriser et, en fait, on a de moins en moins aussi la capacité de poursuivre un effort de sensibilisation mais pas seulement, vraiment de maîtrise, d’« encapacitation » des gens.
Josquin Debaz : Au niveau individuel ?
Rayna Stamboliyska : Parce que trop souvent on repose sur l’individuel pur. Tout ne peut pas reposer sur l’individuel pur. Je ne sais plus qui avait twitté ça un jour, ça m’avait marqué comme idée, c’est qu’on en est à essayer d’apprendre aux gens à se méfier de leurs proches pour ne pas cliquer sur un lien ; ça prend des proportions hallucinantes ! Et cette continuité-là de pédagogie, plus que de sensibilisation, on ne parvient pas à la faire pour plein de raisons.
Josquin Debaz : Les représentations n’ont pas changé en fait, on est toujours pétrifié, comme tu le disais, peut-être un peu différemment, mais finalement on se sent toujours démuni ou on s’estime souvent démuni, donc on fait soit appel à des ressorts individuels permanents, tu le décris bien, une sorte de paranoïa ou, au contraire, on demande à la législation de tout prévoir, de tout bloquer.
Rayna Stamboliyska : Effectivement. On va dire que tu as les deux extrêmes. Bien sûr qu’il y a une part de responsabilité individuelle. La question est comment elle est encadrée, comment elle est suivie, parce que si tu n’as jamais vu quelqu’un qui a cliqué sur un lien problématique et qui, en fait, a été un peu mis en porte-à-faux parce qu’il y a eu un incident de sécurité derrière, ou un incident s’est presque déclaré, tu n’imagines pas le traumatisme de la personne ! Il ne s’agit pas juste de dire aux gens « soyez paranos », ce n’est pas viable, ce n’est pas pérenne. Tu ne peux pas te contenter de leur montrer, aussi bien fait soit-il, le MOOC de l’ANSSI [Agence nationale de la sécurité des systèmes d'information], le SecNumacadémie[2] et te dire « je leur ai dit d’aller voir ça et c’est bon ». Non ! Ce n’est pas « bon » !
Josquin Debaz : Vous passez deux/trois semaines là-dessus et vous serez...
Rayna Stamboliyska : Non, ce n’est pas bon, encore une fois, parce que trop souvent les problèmes arrivent par des messages ressemblant en tous points à des messages légitimes, etc., et près tu as une vraie fracture numérique. Il n’y a pas longtemps j’intervenais sur un plateau télé et avant on passe au maquillage. On commence à discuter avec la maquilleuse, « vous êtes là pourquoi ? — Je vais parler enjeux du numérique, méchants pirates et tout ça ». Elle me dit « c’est vachement bien, c’est super bien que vous parliez de ça parce que, vous savez, on est de plus en plus responsabilisés pour gérer certains aspects administratifs, etc., vous vous rendez compte, il y a des gens qui ne savent pas envoyer une pièce jointe dans un mail ! » Effectivement, je ne m’en rends pas nécessairement compte parce que c’est mon quotidien !
Mais tu vois, tu as effectivement des gens qui ne sont pas, on va dire, des personnes qui ont 90 ans, qui n’ont jamais vu un ordinateur ou un smartphone. Ce sont des gens qui ont 45 ans, qui habitent en plein Paris, qui ont Instagram, Twitter, TikTok, machin, bidule, donc des gens qui ont les moyens de se permettre un device, un smartphone, etc., souvent qui ont des enfants à qui il a fallu faire l’école à la maison et, en fait, ces gens-là sont tellement habitués à certains modes de communication telle la messagerie instantanée ou des choses comme ça qu’en fait ils sont complètement sortis d’un circuit on va dire administratif, etc., dont dépend, finalement, leur vie professionnelle. Et qui rattrape ces gens-là ? Et c’est là où la responsabilité individuelle c’est bien joli, mais ça ne va pas très loin. En fait ça va être aux collègues !
Josquin Debaz : C’est ça. Ce n’est pas juste lié à l’éloignement, je n’ai jamais touché un appareil informatique, etc. Non. Là, au contraire, tu pourras me contredire, mais c’est un usage passif quelque part qui, du coup, ne donne aucune capacité aux gens, en tout cas pas celles qui sont nécessaires pour, finalement, sécuriser leur travail, leur quotidien.
11’ 35
Rayna Stamboliyska : Tout à fait. Ne serait-ce que se projeter dans une situation – je reprends ton autre extrémité, l’aspect législatif – et c’est assez positif dans le sens où on essaye de plus en plus de mettre des mots sur des choses qui sont propres à l’opérationnel, à l’industriel, à du très technique au sens technologique. En fait, on essaye d’expliquer comment des choses devraient fonctionner, comment je protège les données de santé, en faisant des certifications, des choses comme ça. On essaye de mettre des mots et de s’accorder sur des critères communs pour vivre ensemble une vie connectée, en société. Sauf que c’est là où on a une autre fracture qui s’opère, qui était déjà existante avant que le numérique devienne un sujet de société parce qu’il l’est, qui est la fracture entre ceux qui font la loi et le « quidam lambda » entre guillemets. Aujourd’hui combien de gens savent aller chercher nativement, de façon spontanée, quelque chose sur le Journal officiel ?
Josquin Debaz : Ou Légifrance.
Rayna Stamboliyska : Ou Légifrance, etc. Donc cette espèce de gap, ce fossé s’est creusé pendant des années, etc., qui est difficile à rattraper parce qu’il y a toujours, en fait, un problème de continuité des efforts. Aujourd’hui on arrive à la jonction de deux trucs atrocement complexes qui sont, d’une part, l’aspect technologique que ce soit numérique ou que ce soit cyber.
Josquin Debaz : Omniprésent.
Rayna Stamboliyska : Voilà. Et, de l’autre côté, avec du réglementaire que ce soit national ou supranational, européen, international, ce qu’on veut. Combien de gens je connais qui ne comprennent pas qu’elle est la différence entre l’OCDE, le Parlement européen et les Nations-Unies ! Tu te dis comment est-ce possible ? Je ne sais pas !
Josquin Debaz : Même en avoir une vision première ne donne plus tous les détails, parce que, quand on commence à creuser, il y a des finesses qui demandent du temps à acquérir et puis ce sont ces efforts-là. En face ils sont faits et on a vu ces risques évoluer. En ce moment c’est la grande mode des rançongiciels[3], des ransomwares qui fleurissent de partout, qui ont profité de notre ère Covid qui, on l’espère, va bientôt terminer ou, en tout cas, s’atténuer, de notre passage en tout visio et de notre faiblesse au niveau sanitaire pour attaquer en particulier les institutions sanitaires.
Comment analyses-tu ces nouvelles modes, ces nouveaux risques majoritaires ?
Rayna Stamboliyska : Le rançongiciel existait avant la crise. Encore une fois, on n’a pas assez d’approche systémique, si on veut, au sens d’une vision de système, qui nous permette de comprendre les différentes tendances. Ce n’est pas parce que c’est concomitant ou parallèle qu’il y a un lien de causalité. Tu as une situation où du rançongiciel existait avant, j’en ai parlé dans La face cachée en 2016, j’ai écrit ce chapitre-là fin 2016 ; l’aspect coercition a toujours existé. Les rançongiciels c’est une jonction de coercition, d’amplification qui est permise par le numérique.
À Noël je me suis rendu compte que des personnes âgées recevaient des lettres des Témoins de Jéhovah adressées à leur nom, des lettres manuscrites. C’est assez particulier, c’est relativement quand même cruel, avouons-le, en tout cas je trouve ça assez moche de profiter d’une période d’incertitude, de fragilité, etc., pour, finalement, être un prédateur de personnes déjà en vulnérabilité. Passons ! Imagine ce truc-là amplifié x fois par le numérique au sens large, par une professionnalisation qui est là depuis des années de tout ce qui est activité délinquante, opportuniste ! Tout d’un coup on a une situation de pandémie globale qui renforce la charge cognitive sur chacun et chacune de nous, se tenir informé, supporter effectivement un truc difficile qui s’installe, qui dure. Même pour des gens comme moi pour qui la gestion de l’incertitude est le métier, ce n’est pas évident, ça use ! On se retrouve dans une conjonction de cet ordre-là, et c’est ce que j’avais raconté aussi dans La face cachée, quand tu regardes la tendance, surtout quand je pars avec un objectif opportuniste, la tendance est toujours la même : je vais là où il y a beaucoup de gens. Si c’est très difficile d’accéder à une messagerie, un forum, machin, ce n’est pas là que je vais faire beaucoup de thune. C’est pour ça, en fait, qu’il y a toujours ce truc qui persiste d’expliquer à mamie et papy que « oh ! Là, là, vous comprenez les cyber-machins sont très méchants, sont très compétents, ils vous en veulent personnellement ». Non !
Josquin Debaz : Ils ont des capuches !
Rayna Stamboliyska : Oh ! Pitié, Ils sont dans des caves. Franchement j’irais bien dans une cave vu la chaleur qu’il fait ! Tu vois ce que je veux dire. En fait ce côté opportuniste, cette tendance de fond qui n’est plus du tout de fond, qui est une tendance mainstream, si on veut, depuis des années. Les premières offres d’emploi, premières professionnalisations pour ce qu’on appelle des métiers support, si tu prends le modèle de Porter, le modèle de comment fonctionne une entreprise, tu as le métier, le cœur de la valeur et tu as ce qu’on appelle les métiers support, ça va être la communication, les RH, l’administratif, etc., tout ce qui permet à ce que le cœur de création de valeur se développe. Il y avait déjà des offres d’emploi sur les forums de dark-web, etc., dès 2014 ou 2015. Beaucoup de gens les ont vus à un moment donné en disant « oh ! là, là, ça recrute ! », eh bien oui, parce que les gens se retrouvent dans une situation où leur business grandit, donc ils ont besoin d’enrichir les ressources, notamment humaines, en termes de fonctions support. Aujourd’hui ça vient de plus en plus dans le langage courant, on va dire, le rançongiciel as a service, c’est-à-dire que tu as, en fait, une offre de SaaS à la limite où tu as plus ou moins un contrat de licence. En fait l’investissement de départ est tout à fait permissif, surtout si tu penses que tu n’as pas nécessairement de limitation de nombre de tentatives d’escroquerie que tu fais, etc. L’exemple que je donne souvent c’est imagine, j’investis 1 000 € dans un cryptolocker et ça me permet de balancer sur 30 000 TPE, PME, associations, individus.
Josquin Debaz : Il y en aura bien quelques-unes sur lesquelles ça va passer.
Rayna Stamboliyska : Même en demandant 300 € à chaque entité ou personne affectée, sur les 10 000 s’il y en a cinq qui me répondent, à 300 euros chacune j’ai rentabilisé mon investissement et j’ai une marge qui n’est quand même pas dégueulasse.
Josquin Debaz : Pour un effort qui n’est pas gigantesque non plus.
Rayna Stamboliyska : Et ça, ça a été très peu couvert, je trouve ça assez regrettable, dans la presse francophone l’année dernière. Ce n’était pas du rançongiciel mais c’était une fuite de données intérieures qui datait de 2018 en Finlande. Le prestataire de santé mentale des hôpitaux finlandais avait été victime d’une fuite de données justement dès 2018. Ils ne sont vraiment pas débrouillés pour prévenir les gens, etc. Le truc est sorti vraiment de façon très visible dans la presse notamment anglo-saxonne parce que les délinquants qui ont été responsables de la fuite de données se sont retrouvés à chercher à faire du chantage d’abord à la boîte, au prestataire en question, puis à certains de ses employés et, à la fin, ils ont commencé, justement à l’automne 2020, à publier des données de patients et à contacter des patients individuellement pour leur dire « tu me payes 2000 balles, 1 000 euros, ou je mets les données de tes séances psy, etc. sur Internet à la disposition de tout le monde ». Toujours de la coercition.
Josquin Debaz : Ils exploitent le filon le plus loin possible, etc.
Voilà. Cette première partie est terminée. Nous vous donnons rendez-vous pour la suite très bientôt. Vous pouvez d’ores et déjà nous envoyer vos questions et commentaire soit par e-mail à l’adresse coucou@lacantine-brest.net soit via Twitter @AnDaolVras.