Sécurité numérique - Lutte inégale entre le glaive et le bouclier - Guillaume Poupard

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Sécurité numérique - sommes-nous condamnés à une lutte inégale entre le glaive et le bouclier ?

Intervenant·e·s : Guillaume Poupard

Lieu : Collège de France - Séminaire de Gérard Berry - « Où va l’informatique ? »

Date : février 2019

Durée : 1 h 10 min 38

Visionner ou enregistrer la vidéo

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcrit : MO

Transcription

Bonjour à tous C’est un grand honneur, je vais remercier Gérard [Berry] de son invitation, c’est un grand honneur et un peu une escroquerie en même temps, vous voyez il n’y a pas de slides, un artefact de cette escroquerie.
Ça fait très longtemps que je ne fais plus de science, je baigne dans la technique au niveau de l’ANSSI et dans mes postes d’avant. Je ne fais plus de science, donc je ne vais pas vous parler de science, je vais vous parler de sécurité numérique telle que je la vis au quotidien, avec une deuxième escroquerie, c’est que je vais répéter ce qu’a dit Gérard. Je connais d’autres histoires, mais je n’ai pas le droit de les raconter, donc je vais m’appuyer sur celles-là qui sont publiques et qui sont déjà très éloquentes. Les autres, celles qui sont secrètes, elles ne sont pas plus éloquentes, c’est juste qu’il y en a beaucoup plus de fait, malheureusement. Donc quand on connaît les histoires secrètes, on est juste encore plus inquiet fondamentalement. D’un point de vue qualitatif, là on a déjà l’essentiel.
Je vais reprendre un petit tout ça, donc je suis désolé il y aura plein de répétitions. Je vais vous redire la même chose sous l’angle, je ne sais pas comment dire ça, de l’administration, des pouvoirs publics, appelez ça comme vous voulez. L’idée c’est vraiment de vous convaincre qu’on a un vrai sujet avec ces questions de sécurité informatique, raison pour laquelle je dois bien avouer que j’ai été a très agréablement surpris que ce dernier cours technique soit consacré à la sécurité parce que, justement, je suis totalement convaincu que ce développement de l’informatique – il ne faut plus dire informatique, il faut dire numérique, encore mieux digital, bref, c’est de l’informatique tout ça – ce développement de l’informatique, qui s’est parfois opposé aux gens qui faisaient de la sécurité, ne sera pérenne et il ne sera source de progrès que si les questions de sécurité sont prises au juste niveau et ce juste niveau est probablement très élevé mais ce sera à vous de faire votre idée là-dessus.
À l’inverse, cette approche de la sécurité qui est souvent très noire, très pesante, c’est un peu tous les malheurs du monde dans ce monde numérique, on sait trouver des solutions, je vais essayer de vous en convaincre, on sait faire bien, c’est mal fait en général, mais ce n’est pas une règle. On sait bien faire, par contre ça demande de la compétence, ça demande des efforts, ça demande un peu d’argent, un peu de moyens, au juste niveau là-encore. Et si cet effort je suis persuadé qu’on sait tout à fait résoudre la plupart des grands problèmes aujourd’hui, il n’y a pas de verrous comme on pourrait dire. On a probablement encore quelques beaux problèmes technologiques à résoudre, mais même ceux-là seront résolus, je n’ai absolument aucun doute. Par contre, il faut arrêter de développer quick-and-dirty, de développer comme des cochons parce que c’est très souvent ça la base du problème. Il faut également arrêter de se comporter comme des cochons parce qu’on est tous un peu responsables parfois de ces problèmes de sécurité numérique où on fait mal parfois, parfois on sait d’ailleurs qu’on fait mal. C’est un peu tout ça qu’il faut faire évoluer et c’est absolument indispensable et ça peut avoir des enjeux très forts, y compris en termes de sécurité nationale, c’est un peu le domaine dans lequel je suis aujourd’hui, puisque l’ANSSI en fait – je ne veux pas vous faire l’explication de ce qu’est l’ANSSI – c’est une entité qui dépend du Premier ministre et qui s’occupe de sécurité informatique avec, comme filtre essentiellement, de prioriser tout ce qui concerne notre défense notre sécurité nationale. Donc tout ce qui peut menacer la nation et la nation ce n’est pas l’État, la nation c’est vous, c’est moi, c’est toute cette cohésion qui peut aujourd’hui être gravement mise en danger par ces questions d’attaque informatique.
Il y aura toujours des attaquants, il y en aura toujours de plus en plus et ils seront toujours plus agiles, toujours plus forts, et ce sont toujours qui jouent avec les blancs. De toute manière il ne faut pas s’imaginer que tout ça est un effet de mode qui va passer, je ne vois vraiment pas par quel miracle ! Non ! Ce qu’il faut vraiment c’est prendre ce sujet à bras le corps.

Si on revient un petit peu sur les menaces, ça a été très bien dit, donc je reprends les mêmes exemples quelque part et avec une approche différente. C’est compliqué parce que très souvent, dans les médias, tout se mélange et on a l’impression que toutes les attaques sont au même niveau et puis c’est très anxiogène, mais on ne comprend très bien et à chaque fois c’est toujours la plus grande attaque de tous les temps parce qu’il faut faire des grands titres, évidemment. D’ailleurs des fois j’attaque les journalistes qui disent ça, je dis « pourquoi vous avez dit ça ? Vous savez très bien que ce n’est pas vrai. — Ce n’est pas moi qui fais les titres, c’est mon rédac chef qui fait les titres, ce n’est pas moi », c’est sûrement vrai en fait.
Mais de fait de quoi on parle en général ? Ce qui fait souvent les grands titres ce sont les fuites massives de données, ces bases de données qui sortent constamment en ce moment, soit venues dont on ne sait trop où, les motivations des gens qui publient ça sont parfois un petit peu obscures, pour être franc. Beaucoup plus souvent venues de la réglementation. Le Règlement général sur la protection des données qui est une approche européenne de la protection des données personnelles, c’est une avancée majeure sur la protection des données personnelles. On verra ! C’est probablement quelque chose qui méritera, à un moment, qu’on fasse du RETEX, il faudra comprendre ce qui marche bien, ce qui est excessif, ce qui est sous-dimentionné. Mais le fait, quand on perd des bases de données qui nous concernent, nous en tant qu’utilisateurs, le fait d’avoir à le dire, eh bien c’est probablement une bonne démarche, même si parfois dans mon métier ça m’embête, on va y revenir.
J’ai reçu des mails de Starwood me disant que mes données avaient été perdues. Mes gars sont allés voir dans la base de données de 700 et quelques millions d’adresses mails et ils sont venus me voir, un sourire en coin, en me disant « tiens il y a ton adresse mail perso qui est dedans et il y a aussi tes mots de passe, tu devrais faire gaffe ! » Bref ! On est souvent tous concernées par ces choses-là. Et ça c’est un peu le fonds de roulement, c’est un peu avec ça qu’on commence à vivre, à tel point que ça m’inquiète un peu parce que comme c’est tous les jours, à force d’entendre la même fréquence en continu, le cerveau est bien fait, il finit par ne plus entendre, donc le danger ce serait ça, ce serait qu’on s’habitue, finalement que toutes ces fuites de données c’est quelque chose de normal et ce n’est pas normal. J’avance vite là-dessus.
Après, on a des attaques qui sont visibles mais qui ne sont pas graves – pas graves ça dépend pour qui ! Régulièrement on a des attaques en déni par de services qui bloquent par exemple des sites web. Bloquer des suites web, encore récemment, vous avez remarqué que les samedis étaient un peu agités, il y a un peu la même chose dans le monde numérique et parfois il y a des appels à bloquer des sites internet. On ne sait pas trop d’où ça vient. Il y a même eu récemment un communiqué de démenti d’Anonymous qui disait « non, nous on n’est pas d’accord, on ne veut pas attaquer les sites web ». Je vous laisse chercher à comprendre tout ça. Et c’est quoi bloquer un site web ? Simplement on va, comme ça, embêter plein d’objets connectés, de machines compromises, sans que ça ait beaucoup d’impact d’ailleurs pour les détenteurs et ainsi de suite et puis on va aller saturer des sites web ce qui fait que le site web n’est plus accessible pendant quelques minutes, c’est arrivé au site de l’ANSSI ça arrive parfois aux meilleurs. Ce n’est pas très grave fondamentalement parce que ces sites web ne sont pas des outils opérationnels, il n’y a rien qui dépend vraiment de l’accessibilité de ces sites Web.
Quand vous appelez la Fnac et qu’on est à trois jours de Noël, là, la question se pose différemment, très clairement. Mais je vais va rester sur mon exemple, si un samedi après midi le site web de l’ANSSI est inaccessible pendant cinq minutes, ça ne change pas la face du monde ! Je suis d’ailleurs surpris qu’il y ait des gens qui l’ont remarqué, mais c’est pour être méchants !
Et pourtant, ça peut faire du bruit et pourtant ça peut réellement entamer la confiance qu’on veut développer dans le numérique, et ça peut être mal interprété.
Si le site internet institutionnel du ministère des Armées est bloqué comme ça pendant dix minutes, le titre dans la presse va être « Attaque informatique massive contre les armées françaises ». Mes collègues du ministère des Armés sont à chaque fois désespérés quand ils entendent ça, parce que non ! Ça ne fait ni chaud ni froid aux armées françaises le fait que le site soit tombé pendant quelques minutes, mais on commence à toucher à la confiance. Tout ce dont on parle là c’est finalement une question de confiance. C’est très technique mais au final c’est la confiance des utilisateurs, de vous, de moi dans ces systèmes-là qui est en jeu, cette confiance est très fragile.
Il y a d’autres types d’attaques, toujours sur les sites web d’ailleurs parce que c’est la partie visible. On a connu beaucoup ça en 2015 dans un contexte très désagréable qui était celui des attaques contre Charlie Hebdo, l’Hyper Cache, début 2015, cette mauvaise période, eh bien on a eu plein d’attaques de sites internet en .fr , évidemment en .gouv.fr, pour aller afficher des messages. C’était assez variable, ça allait de « nous on n’est pas Charlie », vous vous souvenez de tout ça, à des trucs très agressifs, très pro-terroristes. Est-ce que c’est grave ? Pareil, question de jugement. Ça n’a pas forcément d’impact opérationnel, mais l’exemple que je prends toujours, le jour où vous avez vu un drapeau de Daesh en guise de page d’accueil sur le site web de votre mairie, eh bien après vous avez toujours une petite appréhension à aller inscrire vos gamins aux activités périscolaires. Et pourtant c’est vers ça qu’on veut emmener nos concitoyens.
Je prends souvent l’exemple : c’est du tag numérique, c’est du tag comme on peut en faire sur un bâtiment, il y a toujours des imbéciles pour faire des tags et tout ça. Ce n’est jamais très bon, sauf que là c’est fait sur Internet donc c’est fait à la face du monde et il y a un effet d’amplification qui est potentiellement très grave. Mais si c’est bien fait, si les systèmes sont bien faits, évidemment il y a une condition dans la phrase, eh bien çan’a pas d’impact opérationnel très grave parce qu’on ne rentre pas au cœur des systèmes qui sont censés être critiques.
Je passe là-dessus.

Beaucoup plus grave, le développement de tout ce qui est criminalité, la criminalité ça commence à de la petite escroquerie sans un aucun moyen, qui est plus astucieuse qu’autre chose. En ce moment, juste pour illustrer, il y a toute une campagne des gens qui vous envoient un mail, qui vous disent dans un français parfois approximatif, ça sent le Google Translate, « je suis un méchant hacker, j’ai pris le contrôle de votre machine, j’ai pris le contrôle de votre webcam, je vous ai filmé en train de faire des choses inavouables, mais je vais garder ça secret si vous me versez 200 euros, 2000 euros, les sommes varient, en bitcoins évidemment, sur tel wallet. Extrêmement désagréable, même quand on a bonne conscience et tout ça, parce que c’est vraiment une atteinte à la vie privée et ça c’est très grave.
En fait ces mails c’est du spam, ce n’est rien d’autre que du spam, ce ne sont pas des attaquants informatiques, ils n’ont pas attaqué votre ordinateur évidemment, ils n’ont pas l’effort d’attaquer votre webcam. Je ne dis que ce n’est pas faisable, mais ça demande un véritable effort, alors que là ils se contentent d’envoyer des mails à des centaines de milliers de personnes, des millions probablement vu le nombre de retours que j’ai eu eu simplement après un sondage. Dans le lot, tous ceux qui vont payer 1000 euros c’est autant de pris parce que l’effort par victime doit être de quelques centimes, eh bien s’il n’y a en que 1 % qui paye la rançon le retour sur investissement, pour parler en termes économiques, est absolument colossal.
Petite escroquerie mais pénible.
Parfois ces gens-là sont très malins parce qu’ils vont aller piocher dans les bases de données de mots e passe qui ont fuité sur Internet, ils vont mettre ça dans leurs messages en disant « regardez, la preuve que je vous ai attaqué, je connais vos mots de passe ». Alors là, d’un seul coup on se dit « mince, il connaît mon de passe », donc c’est hyper crédible. Non ! On ne le sait pas forcément mais ces mots de passe sont déjà sur Internet ce ne sont pas des secrets, ce ne sont plus des secrets.
Et puis, à l’autre bout du spectre, on a des escrocs qui sont très compétents techniquement, qui sont très dangereux, et qui ont compris que l’attaque informatique, les virus qu’on connaît, qui sont aussi vieux que l’informatique et tout çA presque, eh bien on pouvait trouver un modèle économique dans ces virus. Avant les virus, quand j’étais jeune, on va commencer à parler comme ça, les virus écrivaient des bêtises à l’écran, des disques durs, ils bloquaient la machine et tout ça, mais les gens qui faisaient ça ne gagnaient pas beaucoup d’argent directement manifestement.
Aujourd’hui c’est beaucoup plu simple, les rançongiciels, les ransowares, les cryptolockers, il y a plein de noms comme ça, ils vont chiffrer les données, au début ils chiffraient mal pour qu’on arrive à s’en sortir, aujourd’hui ils chiffrent bien, les gens qui font ça ont compris les principes de la cryptographie et ils vous disent « c’est bien simple, soit vous payez une rançon et on vous donne la clef de déchiffrement et c’est d’ailleurs très bien expliqué quand c’est bien, soit tant pis, vous avez perdu vos données ». Et puis là, si vous avez une bonne sauvegarde vous pouvez vous en tirer, si vous n’avez pas de sauvegarde ça peut être absolument dramatique ce phénomène. Donc c’est tentant, pour les victimes, de payer ces rançons. Évidemment, le message officiel sera toujours de ne pas payer les rançons, ce n’est pas bien de payer les rançons, ça encourage le crime, ce qui est vrai. Entre toutes ses données et 300 euros, je peux comprendre que certains payent. Le gros problème c’est que quand vous payez vous n’avez aucune garantie que vous allez réellement récupérer vos données. Vous avez quand même à faire à des criminels en face. On ne sait pas où ils sont, on n’est pas près de les attraper et ainsi de suite. Donc la qualité de service est variable, on va dire. Je dis ça sans rire. Des fois elle est excellente parce que certains de ces criminels ont justement à cœur d’avoir une très bonne réputation. Il faut que sur Internet on dise bien « moi j’ai payé et j’ai récupéré mes données, tout va bien ». Donc il y a en a qui ont une qualité de service qui est absolument remarquable et de fait ça marche bien.
Et puis il y en a d’autres qui développent comme des cochons, il y en a aussi chez les attaquants des gens qui développent comme des cochons et ces gens qui développent comme des cochons soit ils ne sont pas fichus de vous renvoyer votre clef, ils se trompent de clef, soit ils ne vous renvoient rien du tout, c’est une double escroquerie, soit ils se sont loupés dans le chiffrement ce qui fait que quand vous déchiffrez vos fichiers vous avez les 1024 premiers octets et le reste n’est pas déchiffré. Tout existe, on a tout vu.

13’ 52

Très souvent tout ça s’effondre, tout simplement, et typiquement l’attaque WannaCry, c’était au printemps 2017, de fait, ce qu’on a pu tracer, tout ça c’est en source ouverte, c’est que l’attaquant a dû récupérer 30 000 dollars, par contre il a embêté la planète entière avec son truc et avec des conséquences dramatiques pour certains, le pire exemple étant en effet probablement le service de santé britannique : les hôpitaux ne marchaient plus, les systèmes d’ambulance ne marchaient plus, tout s’est complètement effondré. ; c’était un système qui était déjà connu pour être fragile donc ça a été un petit peu le coup de grâce. Tout ça a coûté très cher. Les estimations britanniques sont autour de 90 millions de livres, donc un système qui a déjà des problèmes de moyens il n’a pas besoin de payer ça. Et puis, quelque chose dont on parlera probablement jamais, c’est l’impact sur les personnes, parce que quand il n’y a plus d’hôpital et que les ambulances ne savent plus où aller, eh bien il y a des gens qui meurent probablement de manière prématurée. Et là, ce n’est pas pour faire de l’anxiogène pour l’anxiogène, mais on ne rigole plus, on n’est plus dans le déni de service, on n’est plus dans les pages web trafiquées, on est vraiment dans notre sécurité personnelle qui peut être totalement engagée.

Donc ça c’était WannaCry, ce n’était pas drôle, et c’est d’autant plus instructif que quand on a compris assez vite comment fonctionnait WannaCry – c’est un code assez complexe, c’est un mauvais escroc mais un bon développeur qui a probablement fait ça – on ’est rendu compte qu’il utilisait une faille qui s’appelle EternalBlue et cette faille n’est pas totalement anodine vu qu’elle a été volée à la NSA. On ferait des films avec tout ça, il y en probablement déjà d’ailleurs. C’est assez original ce qui se passe dans ce monde informatique parce qu’on a quand même peu d’équivalent avec le monde classique. De fait, la NSA, grand service de renseignement technique américain, qui fait de l’attaque et de la défense, c’est un peu mon homologue aux États-Unis, ça vous donne un petit peu la teneur des relations internationales que l’on développe, c’est intéressant au sens anglais du terme, ils font beaucoup d’attaques, ils l’assument pleinement. Pour faire des attaques ils développent des outils, ils ont des bases de vulnérabilité. Ils font des outils qui sont plutôt très performants. Quand ça fuite – par contre ils ne sont pas très bons pour garder les secrets, Edward en a fait la preuve – dans ce qui a fuité, c’est une base de données absolument incroyable, on trouve des outils, on trouve les modes d’emploi de ces outils, on trouve les slides, les présentations pour expliquer à quel point tout cela est génial et se faire mousser auprès de ses autorités, on trouve même des compte-rendus de l’utilisation de ces outils pour dire tel machin contre tel site c’est un succès ou, quand on est dans la cible, c’est un peu inquiétant donc on va vérifier après, tout ça est vrai. Et notamment, dans ce qui a été volé à la NSA par un groupe qui s’appelle The Shadow Brokers, qui est groupe ? On ne sait pas ! Eh bien ils ont volé des tas de trucs, ils ont cherché à les mettre aux enchères, je ne suis pas sûr que ça ait marché, et puis ils ont fini par les rendre publics. Il y avait cette faille EternalBlue qui a tout de suite été jugée extrêmement critique par les spécialistes, qui s’attaque à un protocole, qui n’est pas le meilleur d’ailleurs, qui s’appelle SMB et, entre le temps de la publication de la faille, la réaction très rapide objectivement notamment de Microsoft pour patcher ce truc et l’attaque, il s’est écoulé suffisamment peu de temps pour que beaucoup d’utilisateurs n’aient pas eu le temps, n’aient pas pris le temps de patcher les systèmes.
On est dans une situation où des gens très forts se font piquer des choses très dangereuses, imaginez une des premières armées au monde qui se fait piquer des armes, comme ça, il y a vraiment ça dans le monde numérique et puis utilisées par on ne sait trop qui pour faire de l’extorsion, pour faire de l’escroquerie, des choses comme ça.
C’est vraiment contre ça qu’il va falloir apprendre à lutter dans le futur.
Je passe. C’était quand même intéressant l’attaque WannaCry.

Dans la foulée, on a eu NotPetya, un peu différent, qui utilisait d’ailleurs un peu la même faille mais pas seulement. NotPetya c’est un peu différent parce que déjà, quand c’est arrivé, on avait passé un mauvais mois avec WannaCry ; le mois d’avant c’était l’élection présidentielle, on avait également passé des week-ends difficiles. Donc ça recommence. On se dit mince, c’est une malédiction ! Et là, tout de suite, les experts me disent « attention fais gaffe, NotPetya ce n’est pas pareil. Ça ressemble, tout le monde, tous les médias commencent à dire que c’est une nouvelle campagne et ainsi de suite, encore plus forte que la précédente comme à chaque fois. Fais gaffe, ce n’est pas la même. On a commencé à analyser le malware, en fait il ne chiffre pas les données, il les efface. Ou alors il les chiffre et il efface la clef », faire ça c’est probablement la meilleure manière d’effacer. Et là, ce qu’on a compris assez vite collectivement, tout cela est également en open source, c’est qu’en fait c’est l’Ukraine qui était ciblée et qui était ciblée de manière extrêmement habile puisqu’en Ukraine il y a un logiciel de comptabilité publique qui est obligatoire pour déclarer des taxes, des choses comme ça, on doit avoir la même chose en France et dans tous les pays du monde mais ce ne sont pas les mêmes, et l’éditeur de ce logiciel qui s’appelle MEDoc s’est fait attaquer, la mise à jour du logiciel a été corrompue, le malware a été intégré dans cette mise à jour, et ensuite, chacun appliquant probablement les bons principes de l’ANSSI ukrainienne, que je ne connais pas bien mais qui peut exister, chacun a mis à jour ses logiciels et, en mettant à jour, a également récupéré le malware. Donc ça, en termes de ciblage, c’est absolument incroyable. Et en termes d’objectif, c’est purement destructeur. C’est de la mauvaise intention, le but c’est vraiment d’aller embêter la cible, avec là une capacité de ciblage particulièrement intelligente.
Qui c’est ? Qui a pu vouloir comme ça se payer toute l’économie ukrainienne d’un coup ? Nous on ne fait pas d’attribution et c’est assez pratique, mais on peut avoir des idées, ce n’est pas interdit. Mes gars me disent : «L ’Ukraine c’est bien pratique, c’est une sorte de champ de tir numérique », les pauvres, il faut voir ce qu’ils prennent ! Le problème c’est que là encore les charges explosives étaient mal dosées et surtout elles n’avaient pas prévu le fait que ça allait éclabousser complètement en dehors de l’Ukraine pour la simple raison que certes ce logiciel MEDoc est purement ukrainien mais après, les réseaux eux ne s’arrêtent pas aux frontières. Et tous ceux qui avaient un orteil, un bout de réseau, bref, qui avaient une connexion avec l’Ukraine – et c’est le cas de beaucoup de multinationales, évidemment – eh bien il y en a plein qui se font fait infecter par ce truc qui était extrêmement virulent, qui était destructeur. Et là, il n’était même pas question de payer une rançon, c’était complètement bidon cette espèce de pseudo-rançon qui était demandée, puisque de toute manière les données étaient effacées, purement et simplement.
Donc là on change de catégorie, on passe de l’escroquerie, qui peut être parfois menée par des États à des fins de récupération d’argent, à des choses qu’on pourrait quasiment qualifier d’actes de guerre. Et d’ailleurs c’est toute la question pour certains : est-ce que c’est un acte de guerre ou pas ce que je viens de vous décrire ? Il y a notamment, en ce moment, un conflit aux États-Unis entre une société qui a été victime et son assureur, parce que l’assurance cyber commence à se développer, où l’assureur dit « moi je n’assure pas les actes de guerre, allez relire votre police d’assurance, vous verrez que les actes de terrorisme, les actes de guerre, les trucs radiologiques, ne sont pas couverts en général par les polices d’assurance, en tout cas pas les polices standards », et là, si on leur dit « c’est un acte de guerre, c’est l’Ukraine qui se fait bombarder comme ça, moi je n’y peux rien c’est en dehors de la police d’assurance ». et la victime à laquelle ça a coûté quand même pas mal de millions cette affaire, qui dit « je n’en sais rien du tout. Ce que je vois c’est que j’ai payé une police d’assurance pour assurer mes systèmes, que tout est tombé et que maintenant vous refusez de me payer ». Donc ce procès va être intéressant en termes e jurisprudence.
Ça c’était NotPetya, pareil, printemps 2017, particulièrement intéressant.

Et puis on a quelques autres histoires comme ça à raconter de sabotages, d’attaques. On a eu TV5 Monde, en 2015, il y a un attaquant très fort qui s’est dit « je vais me faire TV5 Monde » qui était une victime faible d’un point de vue informatique parce qu’elle ne pensait pas être attaquée, elle ne pensait pas être une cible, c’était même crédible. En fait, tout le monde est une cible. C’est ça la conclusion de tout ça ! Un attaquant très fort s’en est pris à TV5 Monde et n’a pas cherché à lui voler des données ou quoi que ce soit, mais il est entré dans son réseau, il l’a cartographié pendant deux mois et, à un moment donné, ils ont déclenché leur attaque et ils ont détruit tous les équipements de production audiovisuelle, les uns après les autres. Détruire ça veut dire quoi ? Comme fait-on pour détruire des équipements à distance ? Aujourd’hui c’est bien simple, on va bousiller le logiciel qui est à l’intérieur, que ce soit du micro-code ou que ce soit du logiciel sur une couche supérieure mais ça revient à peu près au même. D’abord, l’équipement me marche plus ça c’est très clair et même à réparer – les équipement de TV5 Monde sont partis à la benne, ils ont été remplacés par des neufs un peu mieux sécurisés. C’est totalement irréparable.
Donc on voit apparaître une liaison très forte entre le monde cyber, numérique, éthéré, que certains imaginent ou pensent imaginer, et puis ce monde physique bien réel et ça, c’est l’enjeu auquel on est confronté aujourd’hui. Ce numérique est partout. Vous le savez, il est partout, il est dans les transports, il est dans tous les systèmes industriels. Il n’y a pas que les ordinateurs, il n’y a pas que la bureautique, il y a toute cette informatique industrielle, cette informatique cachée très souvent. Allez aujourd’hui dans une usine moderne, c’est incroyable ! Il y a des automates de partout et dans chaque petit automate, c’est de la taille d’un disjoncteur, à chaque fois il y a un processeur, de la mémoire, un Linux [GNU/Linux] pas patché en général, et puis des moyens de communication. Tout ça a évolué à une vitesse absolument incroyable et, en général, avec une maîtrise très limitée de la part des détenteurs de ces usines. Donc c’est vraiment ça la transformation qu’il y a et tout l’enjeu c’est comment est-ce qu’on fait pour faire cette évolution de manière sécurisée, donc sans ouvrir les portes en grand à tous ces attaquants qui ont les idées, qui ont déjà fait la preuve du fait qu’ils avaient ces idées.

24’ 28

On pourrait prendre plein d’exemples. On peut se faire très peur, sincèrement.
Au niveau de l’ANSSI on est plutôt sur le champ défense et sécurité nationale ça veut dire qu’on prend ça par l’angle qu’est-ce qui est le plus grave, donc on s’intéresse à quoi ? On s’intéresse aux administrations les plus sensibles, aux ministères les plus sensibles, plus pour des raisons d’espionnage qui reste quand même le fonds de commerce. Et là, l’espionnage c’est intéressant parce qu’il n’y a pas de règles, quoi qu’on en dise, l’espionnage c’est également intéressant parce qu’on se fait aussi attaquer par nos alliés, donc ça pose les problèmes de manière très particulière. Il y a l’espionnage, très clairement et puis, au-delà de ça, on travaille depuis maintenant plusieurs années très fortement avec ce qu’on appelle les secteurs d’activité d’importance vitale, c’est très techno dit comme ça. En pratique c’est qui ? Ce sont les gens qui font de l’énergie, l’électricité, qui la fabriquent, qui la transportent, qui la distribuent. Tout ça c’est informatisé, tout ça ne doit pas être attaqué ou attaquable.
On travaille avec les télécoms, beaucoup, pour les mêmes raisons, la 5G qui est un peu à la mode en ce moment, la 5G, la criticité du réseau 5G c’est à peu près l’équivalent, à terme, que la criticité de la distribution d’énergie, peut-être même pire, parce qu’en électricité vous pouvez toujours avoir une génératrice à diesel et tout ça, un moteur de sous-marin planqué dans le sous-sol pour faire de l’électricité si vous n’êtes plus alimenté par votre fournisseur, en télécoms ce n’est pas dit. Donc ces réseaux vont être très critiques, c’est ce qu’on appelle vraiment des infrastructures critiques, nous et nos alliés, pas que nos alliés, tout le monde d’ailleurs voit ça comme ça.
Les transports sont des sujets où on peut « s’amuser » à se faire très peur aussi, s’amuser avec des guillemets.
Aujourd’hui on n’a pas de terrorisme cyber, c’est encore une invention, c’est encore de la science-fiction. On a un terrorisme très rudimentaire et déjà efficace. Qu’est-ce qui se passera demain si un terrorisme technologique se développe ? Je prends des exemples, après j’aurai droit à des coups de fil « pourquoi tu as encore parlé de nous ? », j’en prends quand même un, ils sont habitués maintenant. Si demain un groupe terroriste fait la preuve qu’il a fait s’écraser un avion de ligne par de l’attaque informatique, on va rentrer dans une crise mondiale sans précédent. Je peux vous dire ce qui va se passer dans l’heure qui suit : il n’y a plus un avion qui décolle, par contre, après, je ne sais pas vous raconter l’histoire. Le seul truc c’est qu’il ne faut pas la vivre cette histoire, il ne faut pas en arriver là, donc on n’a pas le choix. Il y a peut-être des domaines où on peut attendre les attaques, fonctionner comme ça, jouer au chat et à la souris avec les attaquants et jouer par essais erreurs, comme on le fait dans beaucoup de domaines, mais dans ces secteurs absolument critiques on ne peut pas se permettre d’échouer, donc il faut anticiper, il faut prévenir, il faut se protéger. Et toutes les grandes idées de contre-attaque et tout ça seront vaines, très clairement, le mal sera fait.
Dans le domaine de la santé également, puis je vais arrêter là ma liste, mais il y en d’autres. Dans le domaine de la santé, toute la santé est en train de se numériser et c’est absolument formidable ce que l’on voit d’ailleurs, se numériser au niveau des infrastructures de santé, dans les hôpitaux, c’est juste fou, les XP cachés c’est une réalité, évidemment, ??? mais juste une parenthèse, une anecdote personnelle. À la maison je suis un peu parano, je fais un peu gaffe, je fais gaffe à ce que j’installe, je reviendrai après sur les règles de sécurité, je fais gaffe aux mails que je reçois. Je n’ai jamais eu de virus, il suffit de dire ça pour avoir un problème ce soir, ce n’est pas une provocation non plus, il ne faut pas prendre comme ça comme un défi, mais, de fait, je n’ai jamais eu de virus. La seule fois où j’ai eu un problème, en phase d’échographie pour un heureux évènement et tout cela, on fait des photos, tout allait bien et puis à la fin le médecin me dit : « Si vous voulez, si vous avez une clef USB, vous me la donnez, je n’ai pas le droit de le faire, mais je vous donne les photos sur la clef », très sympa. Je dis bien sûr, je n’étais pas là pour un faire un cours de sécurité informatique. Je donne ma clef, on rentre à la maison, tout va bien, je branche sur le PC, alors là, un festival ! Un festival ! Voilà ! C’est ce qu’on appelle un pot de miel, en fait, un truc non sécurisé où chacun y va avec sa clef, chacun amène son virus sans le savoir, ça fait une sorte de collection et chacun repart avec l’ensemble de la collection pour le coup. Ce qui me surprend encore, pour être franc, c’est que la machine continue à fonctionner. Pas mon PC, mais la machine pour l’échographie. Pourquoi ? Tout simplement parce que le machin a été fabriqué avec une version bien fixée de l’OS et surtout aucune procédure de mise à jour, évidemment parce que pour ça il faudrait que ce soit connecté et ce n’est évidemment pas connecté et puis ce n’est pas demandé par le client et voilà ! Au final, c’est catastrophique. Là ce n’est pas grave ce que je vous raconte, ce n’est pas très grave. Le jour où ça touche un scanner, le jour où ça touche un équipement de radiothérapie, ça peut être beaucoup moins drôle, objectivement. Il y a ça et puis il y a toute la question des objets connectés. C’est super ces objets connectés, les pacemakers, les pompes à insuline, tout ce qu’on va nous mettre dans le corps, on va vivre 20 ans de plus en bonne santé grâce à ça, objectivement c’est génial ! Il ne faudrait pas que ça nous tue ! Moi je dis ça, je ne dis rien ! On a un vrai sujet. On a un vrai sujet avec ça. Comment faire pour que cette avancée formidable se fasse en bonne intelligence avec ces questions de sécurité ? Le gros problème c’est que ces objets connectés, typiquement certains vont coûter 10 euros et passer de 10 euros à 11 euros, ça fait 10 % plus cher, donc on commence par réfléchir. Comment fait-on pour faire de la sécurité à ce prix-là ? Très compliqué. Déjà quand on fait un avion c’est compliqué. Alors que ça coûte parfois des centaines de millions, quand on fait un truc à 10 euros c’est encore plus complexe, mais je suis sûr qu’on arrivera. Globalement on a su faire pour les cartes à puce, les choses comme ça, donc on devrait y arriver.

Dernier exemple d’attaque que je ne sais pas classer dans le reste : depuis 2016 on voit apparaître des attaques informatiques qui visent le fonctionnement même de nos démocraties, qui visent les processus électoraux. C’est la campagne américaine qui a lancé ça, si vous vous souvenez campagne Trump/Clinton, qui n’avait pas forcément besoin de devenir autonomes, ils arrivaient à générer suffisamment de bruit et de bêtises, mais ça a été, en plus, attaqué par des attaquants qui ont notamment volé des mails, qui les ont publiés, qui les ont parfois agrémentés pour ajouter des bêtises dans ces mails histoire de discréditer tel ou tel personnage ou tel ou tel candidat ou candidate en l’occurrence et dans la pire des situations, une situation où on a 50/50. Vous vous souvenez de cette élection, victoire à Trump, majorité de voix à Clinton. Si l’attaquant a réussi à faire passer un pouième de votes d’un côté à l’autre simplement par cette manipulation de l’opinion, eh bien il a changé le résultat de l’élection.
Les manipulations de l’information, désinformation et tout ça c’est vieux comme le monde, simplement ce que l’on vit aujourd’hui c’est un monde qui a changé et un monde dans lequel il y a beaucoup de nouveaux outils qui sont offerts, permis, développés par les attaquants qui cherchent à manipuler ces opinions. C’est très compliqué parce que ça mêle de l’attaque informatique, typiquement le vol de mails et la diffusion, et également de la diffusion de fausses informations, ces fameuses fake news, de la manipulation médiatique, de la manipulation sur les réseaux sociaux ce qui, pour moi, n’est pas de la sécurité informatique, ce sont des questions de sécurité mais pas au sens SSI, tels qu’on les traite et, de fait, depuis 2016 on vit avec ça et on doit maintenant lutter contre ça. Et pendant l’élection présidentielle en 2017, deux jours avant le scrutin, le vendredi, je me souviens très bien, je l’avais même prédit en interne, j’avais dit « de toute manière, si on a un problème ce sera le vendredi à quelques heures de l’espèce de shut down, du moment où plus personne n’a le droit de communiquer ». Ça n’a pas manqué ! À quelques heures, trois boîtes mails de très proches du candidat Macron se sont fait, comme ça, diffuser. Ce n’est pas de la grosse attaque puisque ce sont des gens qui se sont fait avoir par de l’escroquerie par mail comme on peut tous se faire avoir quand c’est bien fait, objectivement, et avec, potentiellement, le risque d’un impact sur le résultat de l’élection. Je ne pense pas que ça en ait eu parce qu’on n’était pas à 50 /50 non plus, loin de là, mais on va devoir apprendre à vivre avec ça plus tout ce qui va avec et qui n’est pas mon métier qui est comment est-ce qu’on fait pour lutter contre la désinformation. Je vous laisse réfléchir, c’est un sujet qui est extrêmement complexe, il n’y a pas le vrai et le faux, c’est une évidence.

Autre problème que je voulais partager avec vous, dans le domaine militaire, dont je viens, en général vous savez qui vous attaque. Il y a toujours des opérations secrètes, des commandos ultras secrets, des hommes grenouilles qui ont des combinaisons dont ils ont coupé les étiquettes pour qu’on ne puisse pas retrouver le pays d’origine – quand ils pensent à couper les étiquettes, mais en général ils savent le faire, quand ils oublient ça fait du bruit pendant très longtemps – mais, pour la plupart des attaques, on sait qui attaque.
Dans le domaine informatique, c’est l’inverse. En général, vous ne savez pas qui vous attaque. Ce n’est pas tout à fait vrai. En général, vous ne savez pas prouver qui vous attaque, il n’y a pas d’évidence sur qui vous attaque. Vous finissez par vous douter de qui c’est et puis vous pouvez avoir une sorte de faisceau de présomptions mais face à un juge, un juge au sens large, quelqu’un qui a autorité et qui doit décider si oui ou non la personne que vous accusez est bien la bonne, eh bien c’est pratiquement impossible aujourd’hui d’apporter des preuves dès que vous avez à faire à des attaquants de haut niveau. Des fois on a des indices, des indices intéressants. Qu’est-ce qu’on a comme indices ? On peut aller voir dans le code des malwares, dans le code des virus, des fois on trouve des commentaires, les attaquants ne sont pas très prudents sur les notions de compilation, ils laissent les commentaires et tout ça et les commentaires peuvent être en anglais, ils peuvent être en cyrillique, ils peuvent être dans un anglais un peu francisant et on peut, comme ça, deviner un petit peu d’où ça vient, ça a pu exister. Donc on peut se dire, comme ça, quand on trouve des commentaires en russe dans un malware que ce sont les Russes qui nous attaquent. On a une preuve. Quand vous y réfléchissez, mettre des commentaires en russe pour faire porter le chapeau à untel, ce n’est pas très compliqué à faire, c’est même trivial à faire. À tel point d’ailleurs, je ne vais taper que sur la NSA, je vais aussi taper aussi sur la CIA, la CIA s’est fait attaquer par un autre groupe qui s’appelle ???, elle s’est fait piquer des outils, tout ça a été diffusé, et parmi les outils de la CIA il y avait un, alors c’était vraiment avec une belle IHM [interface homme-machine] parce que probablement que les opérateurs de la CIA sont moins geeks que ceux de la NSA, une belle IHM où, en fait, vous avez un menu déroulant et vous dites à qui vous voulez faire porter le chapeau ! Et ça intègre automatiquement les preuves pour faire porter le chapeau. C’est génial et en même temps très logique.
Donc ça c’est une preuve, mais une preuve moyenne. Qu’est-ce qu’on a d’autre ? Eh bien les fuseaux horaires de compilation, les heures d’activité et tout ça, une preuve aussi. Quand vous êtes un peu motivé, déjà vous pouvez changer la date de vos ordinateurs et même, quand vous êtes hyper-motivé, vous vous levez la nuit pour faire porter le chapeau, ce n’est pas hors de portée, dès que vous avez un peu de moyens, donc c’est pareil, c’est un peu louche.
Dans les trucs rigolos qu’on a parfois à faire, il y a certains attaquants qu’on suit, il y a une relation presque intime qui s’installe avec eux, on suit leur activité. On sait que certains sont très actifs pour les ponts du mois de mai. À des moments où ils savent que les défenses peuvent peut-être se relâcher. Il y en a d’autres dont on sait qu’à Noël, pendant 15 jours ils arrêtent, probablement des fonctionnaires. Donc il y a comme ça des habitudes qui se prennent. Il y a eu certains attaquants où on corrèle les jours d’inactivité avec les jours féries. En fait, quand vous avez une corrélation parfaite, ça désigne un pays. Quand vous prenez tous les jours féries c’est une signature d’un pays.

Là encore ce sont quand même très souvent de bons indices, mais ce ne sont pas des preuves, bien évidemment.
Je pourrais prendre plein d’exemples comme ça, on a plein d’exemples. Et puis, très souvent, c’est à qui le crime profite ? C’est le vieil adage des films policiers. Donc quand vous mettez tout ça bout à bout, il nous arrive de dire à nos autorités « c’est machin », mais on n’a pas de preuves.

37’ 26

Certains commencent, les Américains commencent,

Récupérée de « http://wiki.april.org/index.php?title=Sécurité_numérique_-_Lutte_inégale_entre_le_glaive_et_le_bouclier_-_Guillaume_Poupard&oldid=89166 »