Sécurité numérique - Lutte inégale entre le glaive et le bouclier - Guillaume Poupard

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Sécurité numérique - sommes-nous condamnés à une lutte inégale entre le glaive et le bouclier ?

Intervenant·e·s : Guillaume Poupard

Lieu : Collège de France - Séminaire de Gérard Berry - « Où va l’informatique ? »

Date : février 2019

Durée : 1 h 10 min 38

Visionner ou enregistrer la vidéo

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcrit : MO

Transcription

Bonjour à tous C’est un grand honneur, je vais remercier Gérard [Berry] de son invitation, c’est un grand honneur et un peu une escroquerie en même temps, vous voyez il n’y a pas de slides, un artefact de cette escroquerie.
Ça fait très longtemps que je ne fais plus de science, je baigne dans la technique au niveau de l’ANSSI et dans mes postes d’avant. Je ne fais plus de science, donc je ne vais pas vous parler de science, je vais vous parler de sécurité numérique telle que je la vis au quotidien, avec une deuxième escroquerie, c’est que je vais répéter ce qu’a dit Gérard. Je connais d’autres histoires, mais je n’ai pas le droit de les raconter, donc je vais m’appuyer sur celles-là qui sont publiques et qui sont déjà très éloquentes. Les autres, celles qui sont secrètes, elles ne sont pas plus éloquentes, c’est juste qu’il y en a beaucoup plus de fait, malheureusement. Donc quand on connaît les histoires secrètes, on est juste encore plus inquiet fondamentalement. D’un point de vue qualitatif, là on a déjà l’essentiel.
Je vais reprendre un petit tout ça, donc je suis désolé il y aura plein de répétitions. Je vais vous redire la même chose sous l’angle, je ne sais pas comment dire ça, de l’administration, des pouvoirs publics, appelez ça comme vous voulez. L’idée c’est vraiment de vous convaincre qu’on a un vrai sujet avec ces questions de sécurité informatique, raison pour laquelle je dois bien avouer que j’ai été a très agréablement surpris que ce dernier cours technique soit consacré à la sécurité parce que, justement, je suis totalement convaincu que ce développement de l’informatique – il ne faut plus dire informatique, il faut dire numérique, encore mieux digital, bref, c’est de l’informatique tout ça – ce développement de l’informatique, qui s’est parfois opposé aux gens qui faisaient de la sécurité, ne sera pérenne et il ne sera source de progrès que si les questions de sécurité sont prises au juste niveau et ce juste niveau est probablement très élevé mais ce sera à vous de faire votre idée là-dessus.
À l’inverse, cette approche de la sécurité qui est souvent très noire, très pesante, c’est un peu tous les malheurs du monde dans ce monde numérique, on sait trouver des solutions, je vais essayer de vous en convaincre, on sait faire bien, c’est mal fait en général, mais ce n’est pas une règle. On sait bien faire, par contre ça demande de la compétence, ça demande des efforts, ça demande un peu d’argent, un peu de moyens, au juste niveau là-encore. Et si cet effort je suis persuadé qu’on sait tout à fait résoudre la plupart des grands problèmes aujourd’hui, il n’y a pas de verrous comme on pourrait dire. On a probablement encore quelques beaux problèmes technologiques à résoudre, mais même ceux-là seront résolus, je n’ai absolument aucun doute. Par contre, il faut arrêter de développer quick-and-dirty, de développer comme des cochons parce que c’est très souvent ça la base du problème. Il faut également arrêter de se comporter comme des cochons parce qu’on est tous un peu responsables parfois de ces problèmes de sécurité numérique où on fait mal parfois, parfois on sait d’ailleurs qu’on fait mal. C’est un peu tout ça qu’il faut faire évoluer et c’est absolument indispensable et ça peut avoir des enjeux très forts, y compris en termes de sécurité nationale, c’est un peu le domaine dans lequel je suis aujourd’hui, puisque l’ANSSI en fait – je ne veux pas vous faire l’explication de ce qu’est l’ANSSI – c’est une entité qui dépend du Premier ministre et qui s’occupe de sécurité informatique avec, comme filtre essentiellement, de prioriser tout ce qui concerne notre défense notre sécurité nationale. Donc tout ce qui peut menacer la nation et la nation ce n’est pas l’État, la nation c’est vous, c’est moi, c’est toute cette cohésion qui peut aujourd’hui être gravement mise en danger par ces questions d’attaque informatique.
Il y aura toujours des attaquants, il y en aura toujours de plus en plus et ils seront toujours plus agiles, toujours plus forts, et ce sont toujours qui jouent avec les blancs. De toute manière il ne faut pas s’imaginer que tout ça est un effet de mode qui va passer, je ne vois vraiment pas par quel miracle ! Non ! Ce qu’il faut vraiment c’est prendre ce sujet à bras le corps.

Si on revient un petit peu sur les menaces, ça a été très bien dit, donc je reprends les mêmes exemples quelque part et avec une approche différente. C’est compliqué parce que très souvent, dans les médias, tout se mélange et on a l’impression que toutes les attaques sont au même niveau et puis c’est très anxiogène, mais on ne comprend très bien et à chaque fois c’est toujours la plus grande attaque de tous les temps parce qu’il faut faire des grands titres, évidemment. D’ailleurs des fois j’attaque les journalistes qui disent ça, je dis « pourquoi vous avez dit ça ? Vous savez très bien que ce n’est pas vrai. — Ce n’est pas moi qui fais les titres, c’est mon rédac chef qui fait les titres, ce n’est pas moi », c’est sûrement vrai en fait.
Mais de fait de quoi on parle en général ? Ce qui fait souvent les grands titres ce sont les fuites massives de données, ces bases de données qui sortent constamment en ce moment, soit venues dont on ne sait trop où, les motivations des gens qui publient ça sont parfois un petit peu obscures, pour être franc. Beaucoup plus souvent venues de la réglementation. Le Règlement général sur la protection des données qui est une approche européenne de la protection des données personnelles, c’est une avancée majeure sur la protection des données personnelles. On verra ! C’est probablement quelque chose qui méritera, à un moment, qu’on fasse du RETEX, il faudra comprendre ce qui marche bien, ce qui est excessif, ce qui est sous-dimentionné. Mais le fait, quand on perd des bases de données qui nous concernent, nous en tant qu’utilisateurs, le fait d’avoir à le dire, eh bien c’est probablement une bonne démarche, même si parfois dans mon métier ça m’embête, on va y revenir.
J’ai reçu des mails de Starwood me disant que mes données avaient été perdues. Mes gars sont allés voir dans la base de données de 700 et quelques millions d’adresses mails et ils sont venus me voir, un sourire en coin, en me disant « tiens il y a ton adresse mail perso qui est dedans et il y a aussi tes mots de passe, tu devrais faire gaffe ! » Bref ! On est souvent tous concernées par ces choses-là. Et ça c’est un peu le fonds de roulement, c’est un peu avec ça qu’on commence à vivre, à tel point que ça m’inquiète un peu parce que comme c’est tous les jours, à force d’entendre la même fréquence en continu, le cerveau est bien fait, il finit par ne plus entendre, donc le danger ce serait ça, ce serait qu’on s’habitue, finalement que toutes ces fuites de données c’est quelque chose de normal et ce n’est pas normal. J’avance vite là-dessus.
Après, on a des attaques qui sont visibles mais qui ne sont pas graves – pas graves ça dépend pour qui ! Régulièrement on a des attaques en déni par de services qui bloquent par exemple des sites web. Bloquer des suites web, encore récemment, vous avez remarqué que les samedis étaient un peu agités, il y a un peu la même chose dans le monde numérique et parfois il y a des appels à bloquer des sites internet. On ne sait pas trop d’où ça vient. Il y a même eu récemment un communiqué de démenti d’Anonymous qui disait « non, nous on n’est pas d’accord, on ne veut pas attaquer les sites web ». Je vous laisse chercher à comprendre tout ça. Et c’est quoi bloquer un site web ? Simplement on va, comme ça, embêter plein d’objets connectés, de machines compromises, sans que ça ait beaucoup d’impact d’ailleurs pour les détenteurs et ainsi de suite et puis on va aller saturer des sites web ce qui fait que le site web n’est plus accessible pendant quelques minutes, c’est arrivé au site de l’ANSSI ça arrive parfois aux meilleurs. Ce n’est pas très grave fondamentalement parce que ces sites web ne sont pas des outils opérationnels, il n’y a rien qui dépend vraiment de l’accessibilité de ces sites Web.
Quand vous appelez la Fnac et qu’on est à trois jours de Noël, là, la question se pose différemment, très clairement. Mais je vais va rester sur mon exemple, si un samedi après midi le site web de l’ANSSI est inaccessible pendant cinq minutes, ça ne change pas la face du monde ! Je suis d’ailleurs surpris qu’il y ait des gens qui l’ont remarqué, mais c’est pour être méchants !
Et pourtant, ça peut faire du bruit et pourtant ça peut réellement entamer la confiance qu’on veut développer dans le numérique, et ça peut être mal interprété.
Si le site internet institutionnel du ministère des Armées est bloqué comme ça pendant dix minutes, le titre dans la presse va être « Attaque informatique massive contre les armées françaises ». Mes collègues du ministère des Armés sont à chaque fois désespérés quand ils entendent ça, parce que non ! Ça ne fait ni chaud ni froid aux armées françaises le fait que le site soit tombé pendant quelques minutes, mais on commence à toucher à la confiance. Tout ce dont on parle là c’est finalement une question de confiance. C’est très technique mais au final c’est la confiance des utilisateurs, de vous, de moi dans ces systèmes-là qui est en jeu, cette confiance est très fragile.
Il y a d’autres types d’attaques, toujours sur les sites web d’ailleurs parce que c’est la partie visible. On a connu beaucoup ça en 2015 dans un contexte très désagréable qui était celui des attaques contre Charlie Hebdo, l’Hyper Cache, début 2015, cette mauvaise période, eh bien on a eu plein d’attaques de sites internet en .fr , évidemment en .gouv.fr, pour aller afficher des messages. C’était assez variable, ça allait de « nous on n’est pas Charlie », vous vous souvenez de tout ça, à des trucs très agressifs, très pro-terroristes. Est-ce que c’est grave ? Pareil, question de jugement. Ça n’a pas forcément d’impact opérationnel, mais l’exemple que je prends toujours, le jour où vous avez vu un drapeau de Daesh en guise de page d’accueil sur le site web de votre mairie, eh bien après vous avez toujours une petite appréhension à aller inscrire vos gamins aux activités périscolaires. Et pourtant c’est vers ça qu’on veut emmener nos concitoyens.
Je prends souvent l’exemple : c’est du tag numérique, c’est du tag comme on peut en faire sur un bâtiment, il y a toujours des imbéciles pour faire des tags et tout ça. Ce n’est jamais très bon, sauf que là c’est fait sur Internet donc c’est fait à la face du monde et il y a un effet d’amplification qui est potentiellement très grave. Mais si c’est bien fait, si les systèmes sont bien faits, évidemment il y a une condition dans la phrase, eh bien çan’a pas d’impact opérationnel très grave parce qu’on ne rentre pas au cœur des systèmes qui sont censés être critiques.
Je passe là-dessus.

Beaucoup plus grave, le développement de tout ce qui est criminalité, la criminalité ça commence à de la petite escroquerie sans un aucun moyen, qui est plus astucieuse qu’autre chose. En ce moment, juste pour illustrer, il y a toute une campagne des gens qui vous envoient un mail, qui vous disent dans un français parfois approximatif, ça sent le Google Translate, « je suis un méchant hacker, j’ai pris le contrôle de votre machine, j’ai pris le contrôle de votre webcam, je vous ai filmé en train de faire des choses inavouables, mais je vais garder ça secret si vous me versez 200 euros, 2000 euros, les sommes varient, en bitcoins évidemment, sur tel wallet. Extrêmement désagréable, même quand on a bonne conscience et tout ça, parce que c’est vraiment une atteinte à la vie privée et ça c’est très grave.
En fait ces mails c’est du spam, ce n’est rien d’autre que du spam, ce ne sont pas des attaquants informatiques, ils n’ont pas attaqué votre ordinateur évidemment, ils n’ont pas l’effort d’attaquer votre webcam. Je ne dis que ce n’est pas faisable, mais ça demande un véritable effort, alors que là ils se contentent d’envoyer des mails à des centaines de milliers de personnes, des millions probablement vu le nombre de retours que j’ai eu eu simplement après un sondage. Dans le lot, tous ceux qui vont payer 1000 euros c’est autant de pris parce que l’effort par victime doit être de quelques centimes, eh bien s’il n’y a en que 1 % qui paye la rançon le retour sur investissement, pour parler en termes économiques, est absolument colossal.
Petite escroquerie mais pénible.
Parfois ces gens-là sont très malins parce qu’ils vont aller piocher dans les bases de données de mots e passe qui ont fuité sur Internet, ils vont mettre ça dans leurs messages en disant « regardez, la preuve que je vous ai attaqué, je connais vos mots de passe ». Alors là, d’un seul coup on se dit « mince, il connaît mon de passe », donc c’est hyper crédible. Non ! On ne le sait pas forcément mais ces mots de passe sont déjà sur Internet ce ne sont pas des secrets, ce ne sont plus des secrets.
Et puis, à l’autre bout du spectre, on a des escrocs qui sont très compétents techniquement, qui sont très dangereux, et qui ont compris que l’attaque informatique, les virus qu’on connaît, qui sont aussi vieux que l’informatique et tout çA presque, eh bien on pouvait trouver un modèle économique dans ces virus. Avant les virus, quand j’étais jeune, on va commencer à parler comme ça, les virus écrivaient des bêtises à l’écran, des disques durs, ils bloquaient la machine et tout ça, mais les gens qui faisaient ça ne gagnaient pas beaucoup d’argent directement manifestement.
Aujourd’hui c’est beaucoup plu simple, les rançongiciels, les ransowares, les cryptolockers, il y a plein de noms comme ça, ils vont chiffrer les données, au début ils chiffraient mal pour qu’on arrive à s’en sortir, aujourd’hui ils chiffrent bien, les gens qui font ça ont compris les principes de la cryptographie et ils vous disent « c’est bien simple, soit vous payez une rançon et on vous donne la clef de déchiffrement et c’est d’ailleurs très bien expliqué quand c’est bien, soit tant pis, vous avez perdu vos données ». Et puis là, si vous avez une bonne sauvegarde vous pouvez vous en tirer, si vous n’avez pas de sauvegarde ça peut être absolument dramatique ce phénomène. Donc c’est tentant, pour les victimes, de payer ces rançons. Évidemment, le message officiel sera toujours de ne pas payer les rançons, ce n’est pas bien de payer les rançons, ça encourage le crime, ce qui est vrai. Entre toutes ses données et 300 euros, je peux comprendre que certains payent. Le gros problème c’est que quand vous payez vous n’avez aucune garantie que vous allez réellement récupérer vos données. Vous avez quand même à faire à des criminels en face. On ne sait pas où ils sont, on n’est pas près de les attraper et ainsi de suite. Donc la qualité de service est variable, on va dire. Je dis ça sans rire. Des fois elle est excellente parce que certains de ces criminels ont justement à cœur d’avoir une très bonne réputation. Il faut que sur Internet on dise bien « moi j’ai payé et j’ai récupéré mes données, tout va bien ». Donc il y a en a qui ont une qualité de service qui est absolument remarquable et de fait ça marche bien.
Et puis il y en a d’autres qui développent comme des cochons, il y en a aussi chez les attaquants des gens qui développent comme des cochons et ces gens qui développent comme des cochons soit ils ne sont pas fichus de vous renvoyer votre clef, ils se trompent de clef, soit ils ne vous renvoient rien du tout, c’est une double escroquerie, soit ils se sont loupés dans le chiffrement ce qui fait que quand vous déchiffrez vos fichiers vous avez les 1024 premiers octets et le reste n’est pas déchiffré. Tout existe, on a tout vu.

13’ 52

Très souvent tout ça s’effondre tout simplement

Récupérée de « http://wiki.april.org/index.php?title=Sécurité_numérique_-_Lutte_inégale_entre_le_glaive_et_le_bouclier_-_Guillaume_Poupard&oldid=89164 »