Sécurité numérique - Lutte inégale entre le glaive et le bouclier - Guillaume Poupard

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Sécurité numérique - sommes-nous condamnés à une lutte inégale entre le glaive et le bouclier ?

Intervenant·e·s : Guillaume Poupard

Lieu : Collège de France - Séminaire de Gérard Berry - « Où va l’informatique ? »

Date : février 2019

Durée : 1 h 10 min 38

Visionner ou enregistrer la vidéo

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcrit : MO

Transcription

Bonjour à tous C’est un grand honneur, je vais remercier Gérard [Berry] de son invitation, c’est un grand honneur et un peu une escroquerie en même temps, vous voyez il n’y a pas de slides, un artefact de cette escroquerie.
Ça fait très longtemps que je ne fais plus de science, je baigne dans la technique au niveau de l’ANSSI et dans mes postes d’avant. Je ne fais plus de science, donc je ne vais pas vous parler de science, je vais vous parler de sécurité numérique telle que je la vis au quotidien, avec une deuxième escroquerie, c’est que je vais répéter ce qu’a dit Gérard. Je connais d’autres histoires, mais je n’ai pas le droit de les raconter, donc je vais m’appuyer sur celles-là qui sont publiques et qui sont déjà très éloquentes. Les autres, celles qui sont secrètes, elles ne sont pas plus éloquentes, c’est juste qu’il y en a beaucoup plus de fait, malheureusement. Donc quand on connaît les histoires secrètes, on est juste encore plus inquiet fondamentalement. D’un point de vue qualitatif, là on a déjà l’essentiel.
Je vais reprendre un petit tout ça, donc je suis désolé il y aura plein de répétitions. Je vais vous redire la même chose sous l’angle, je ne sais pas comment dire ça, de l’administration, des pouvoirs publics, appelez ça comme vous voulez. L’idée c’est vraiment de vous convaincre qu’on a un vrai sujet avec ces questions de sécurité informatique, raison pour laquelle je dois bien avouer que j’ai été a très agréablement surpris que ce dernier cours technique soit consacré à la sécurité parce que, justement, je suis totalement convaincu que ce développement de l’informatique – il ne faut plus dire informatique, il faut dire numérique, encore mieux digital, bref, c’est de l’informatique tout ça – ce développement de l’informatique, qui s’est parfois opposé aux gens qui faisaient de la sécurité, ne sera pérenne et il ne sera source de progrès que si les questions de sécurité sont prises au juste niveau et ce juste niveau est probablement très élevé mais ce sera à vous de faire votre idée là-dessus.
À l’inverse, cette approche de la sécurité qui est souvent très noire, très pesante, c’est un peu tous les malheurs du monde dans ce monde numérique, on sait trouver des solutions, je vais essayer de vous en convaincre, on sait faire bien, c’est mal fait en général, mais ce n’est pas une règle. On sait bien faire, par contre ça demande de la compétence, ça demande des efforts, ça demande un peu d’argent, un peu de moyens, au juste niveau là-encore. Et si cet effort je suis persuadé qu’on sait tout à fait résoudre la plupart des grands problèmes aujourd’hui, il n’y a pas de verrous comme on pourrait dire. On a probablement encore quelques beaux problèmes technologiques à résoudre, mais même ceux-là seront résolus, je n’ai absolument aucun doute. Par contre, il faut arrêter de développer quick-and-dirty, de développer comme des cochons parce que c’est très souvent ça la base du problème. Il faut également arrêter de se comporter comme des cochons parce qu’on est tous un peu responsables parfois de ces problèmes de sécurité numérique où on fait mal parfois, parfois on sait d’ailleurs qu’on fait mal. C’est un peu tout ça qu’il faut faire évoluer et c’est absolument indispensable et ça peut avoir des enjeux très forts, y compris en termes de sécurité nationale, c’est un peu le domaine dans lequel je suis aujourd’hui, puisque l’ANSSI en fait – je ne veux pas vous faire l’explication de ce qu’est l’ANSSI – c’est une entité qui dépend du Premier ministre et qui s’occupe de sécurité informatique avec, comme filtre essentiellement, de prioriser tout ce qui concerne notre défense notre sécurité nationale. Donc tout ce qui peut menacer la nation et la nation ce n’est pas l’État, la nation c’est vous, c’est moi, c’est toute cette cohésion qui peut aujourd’hui être gravement mise en danger par ces questions d’attaque informatique.
Il y aura toujours des attaquants, il y en aura toujours de plus en plus et ils seront toujours plus agiles, toujours plus forts, et ce sont toujours qui jouent avec les blancs. De toute manière il ne faut pas s’imaginer que tout ça est un effet de mode qui va passer, je ne vois vraiment pas par quel miracle ! Non ! Ce qu’il faut vraiment c’est prendre ce sujet à bras le corps.

Si on revient un petit peu sur les menaces, ça a été très bien dit, donc je reprends les mêmes exemples quelque part et avec une approche différente. C’est compliqué parce que très souvent, dans les médias, tout se mélange et on a l’impression que toutes les attaques sont au même niveau et puis c’est très anxiogène, mais on ne comprend très bien et à chaque fois c’est toujours la plus grande attaque de tous les temps parce qu’il faut faire des grands titres, évidemment. D’ailleurs des fois j’attaque les journalistes qui disent ça, je dis « pourquoi vous avez dit ça ? Vous savez très bien que ce n’est pas vrai. — Ce n’est pas moi qui fais les titres, c’est mon rédac chef qui fait les titres, ce n’est pas moi », c’est sûrement vrai en fait.
Mais de fait de quoi on parle en général ? Ce qui fait souvent les grands titres ce sont les fuites massives de données, ces bases de données qui sortent constamment en ce moment, soit venues dont on ne sait trop où, les motivations des gens qui publient ça sont parfois un petit peu obscures, pour être franc. Beaucoup plus souvent venues de la réglementation. Le Règlement général sur la protection des données qui est une approche européenne de la protection des données personnelles, c’est une avancée majeure sur la protection des données personnelles. On verra ! C’est probablement quelque chose qui méritera, à un moment, qu’on fasse du RETEX, il faudra comprendre ce qui marche bien, ce qui est excessif, ce qui est sous-dimentionné. Mais le fait, quand on perd des bases de données qui nous concernent, nous en tant qu’utilisateurs, le fait d’avoir à le dire, eh bien c’est probablement une bonne démarche, même si parfois dans mon métier ça m’embête, on va y revenir.
J’ai reçu des mails de Starwood me disant que mes données avaient été perdues. Mes gars sont allés voir dans la base de données de 700 et quelques millions d’adresses mails et ils sont venus me voir, un sourire en coin, en me disant « tiens il y a ton adresse mail perso qui est dedans et il y a aussi tes mots de passe, tu devrais faire gaffe ! » Bref ! On est souvent tous concernées par ces choses-là. Et ça c’est un peu le fonds de roulement, c’est un peu avec ça qu’on commence à vivre, à tel point que ça m’inquiète un peu parce que comme c’est tous les jours, à force d’entendre la même fréquence en continu, le cerveau est bien fait, il finit par ne plus entendre, donc le danger ce serait ça, ce serait qu’on s’habitue, finalement que toutes ces fuites de données c’est quelque chose de normal et ce n’est pas normal. J’avance vite là-dessus.
Après, on a des attaques qui sont visibles mais qui ne sont pas graves – pas graves ça dépend pour qui ! Régulièrement on a des attaques en déni par de services qui bloquent par exemple des sites web. Bloquer des suites web, encore récemment, vous avez remarqué que les samedis étaient un peu agités, il y a un peu la même chose dans le monde numérique et parfois il y a des appels à bloquer des sites internet. On ne sait pas trop d’où ça vient. Il y a même eu récemment un communiqué de démenti d’Anonymous qui disait « non, nous on n’est pas d’accord, on ne veut pas attaquer les sites web ». Je vous laisse chercher à comprendre tout ça. Et c’est quoi bloquer un site web ? Simplement on va, comme ça, embêter plein d’objets connectés, de machines compromises, sans que ça ait beaucoup d’impact d’ailleurs pour les détenteurs et ainsi de suite et puis on va aller saturer des sites web ce qui fait que le site web n’est plus accessible pendant quelques minutes, c’est arrivé au site de l’ANSSI ça arrive parfois aux meilleurs. Ce n’est pas très grave fondamentalement parce que ces sites web ne sont pas des outils opérationnels, il n’y a rien qui dépend vraiment de l’accessibilité de ces sites Web.
Quand vous appelez la Fnac et qu’on est à trois jours de Noël, là, la question se pose différemment, très clairement. Mais je vais va rester sur mon exemple, si un samedi après midi le site web de l’ANSSI est inaccessible pendant cinq minutes, ça ne change pas la face du monde ! Je suis d’ailleurs surpris qu’il y ait des gens qui l’ont remarqué, mais c’est pour être méchants !
Et pourtant, ça peut faire du bruit et pourtant ça peut réellement entamer la confiance qu’on veut développer dans le numérique, et ça peut être mal interprété.
Si le site internet institutionnel du ministère des Armées est bloqué comme ça pendant dix minutes, le titre dans la presse va être « Attaque informatique massive contre les armées françaises ». Mes collègues du ministère des Armés sont à chaque fois désespérés quand ils entendent ça, parce que non ! Ça ne fait ni chaud ni froid aux armées françaises le fait que le site soit tombé pendant quelques minutes, mais on commence à toucher à la confiance. Tout ce dont on parle là c’est finalement une question de confiance. C’est très technique mais au final c’est la confiance des utilisateurs, de vous, de moi dans ces systèmes-là qui est en jeu, cette confiance est très fragile.
Il y a d’autres types d’attaques, toujours sur les sites web d’ailleurs parce que c’est la partie visible. On a connu beaucoup ça en 2015 dans un contexte très désagréable qui était celui des attaques contre Charlie Hebdo, l’Hyper Cache, début 2015, cette mauvaise période, eh bien on a eu plein d’attaques de sites internet en .fr , évidemment en .gouv.fr, pour aller afficher des messages. C’était assez variable, ça allait de « nous on n’est pas Charlie », vous vous souvenez de tout ça, à des trucs très agressifs, très pro-terroristes. Est-ce que c’est grave ? Pareil, question de jugement. Ça n’a pas forcément d’impact opérationnel, mais l’exemple que je prends toujours, le jour où vous avez vu un drapeau de Daesh en guise de page d’accueil sur le site web de votre mairie, eh bien après vous avez toujours une petite appréhension à aller inscrire vos gamins aux activités périscolaires. Et pourtant c’est vers ça qu’on veut emmener nos concitoyens.
Je prends souvent l’exemple : c’est du tag numérique, c’est du tag comme on peut en faire sur un bâtiment, il y a toujours des imbéciles pour faire des tags et tout ça. Ce n’est jamais très bon, sauf que là c’est fait sur Internet donc c’est fait à la face du monde et il y a un effet d’amplification qui est potentiellement très grave. Mais si c’est bien fait, si les systèmes sont bien faits, évidemment il y a une condition dans la phrase, eh bien çan’a pas d’impact opérationnel très grave parce qu’on ne rentre pas au cœur des systèmes qui sont censés être critiques.
Je passe là-dessus.

Beaucoup plus grave, le développement de tout ce qui est criminalité, la criminalité ça commence à de la petite escroquerie sans un aucun moyen, qui est plus astucieuse qu’autre chose. En ce moment, juste pour illustrer, il y a toute une campagne des gens qui vous envoient un mail, qui vous disent dans un français parfois approximatif, ça sent le Google Translate, « je suis un méchant hacker, j’ai pris le contrôle de votre machine, j’ai pris le contrôle de votre webcam, je vous ai filmé en train de faire des choses inavouables, mais je vais garder ça secret si vous me versez 200 euros, 2000 euros, les sommes varient, en bitcoins évidemment, sur tel wallet. Extrêmement désagréable, même quand on a bonne conscience et tout ça, parce que c’est vraiment une atteinte à la vie privée et ça c’est très grave.
En fait ces mails c’est du spam, ce n’est rien d’autre que du spam, ce ne sont pas des attaquants informatiques, ils n’ont pas attaqué votre ordinateur évidemment, ils n’ont pas l’effort d’attaquer votre webcam. Je ne dis que ce n’est pas faisable, mais ça demande un véritable effort, alors que là ils se contentent d’envoyer des mails à des centaines de milliers de personnes, des millions probablement vu le nombre de retours que j’ai eu eu simplement après un sondage. Dans le lot, tous ceux qui vont payer 1000 euros c’est autant de pris parce que l’effort par victime doit être de quelques centimes, eh bien s’il n’y a en que 1 % qui paye la rançon le retour sur investissement, pour parler en termes économiques, est absolument colossal.
Petite escroquerie mais pénible.
Parfois ces gens-là sont très malins parce qu’ils vont aller piocher dans les bases de données de mots e passe qui ont fuité sur Internet, ils vont mettre ça dans leurs messages en disant « regardez, la preuve que je vous ai attaqué, je connais vos mots de passe ». Alors là, d’un seul coup on se dit « mince, il connaît mon de passe », donc c’est hyper crédible. Non ! On ne le sait pas forcément mais ces mots de passe sont déjà sur Internet ce ne sont pas des secrets, ce ne sont plus des secrets.
Et puis, à l’autre bout du spectre, on a des escrocs qui sont très compétents techniquement, qui sont très dangereux, et qui ont compris que l’attaque informatique, les virus qu’on connaît, qui sont aussi vieux que l’informatique et tout çA presque, eh bien on pouvait trouver un modèle économique dans ces virus. Avant les virus, quand j’étais jeune, on va commencer à parler comme ça, les virus écrivaient des bêtises à l’écran, des disques durs, ils bloquaient la machine et tout ça, mais les gens qui faisaient ça ne gagnaient pas beaucoup d’argent directement manifestement.
Aujourd’hui c’est beaucoup plu simple, les rançongiciels, les ransowares, les cryptolockers, il y a plein de noms comme ça, ils vont chiffrer les données, au début ils chiffraient mal pour qu’on arrive à s’en sortir, aujourd’hui ils chiffrent bien, les gens qui font ça ont compris les principes de la cryptographie et ils vous disent « c’est bien simple, soit vous payez une rançon et on vous donne la clef de déchiffrement et c’est d’ailleurs très bien expliqué quand c’est bien, soit tant pis, vous avez perdu vos données ». Et puis là, si vous avez une bonne sauvegarde vous pouvez vous en tirer, si vous n’avez pas de sauvegarde ça peut être absolument dramatique ce phénomène. Donc c’est tentant, pour les victimes, de payer ces rançons. Évidemment, le message officiel sera toujours de ne pas payer les rançons, ce n’est pas bien de payer les rançons, ça encourage le crime, ce qui est vrai. Entre toutes ses données et 300 euros, je peux comprendre que certains payent. Le gros problème c’est que quand vous payez vous n’avez aucune garantie que vous allez réellement récupérer vos données. Vous avez quand même à faire à des criminels en face. On ne sait pas où ils sont, on n’est pas près de les attraper et ainsi de suite. Donc la qualité de service est variable, on va dire. Je dis ça sans rire. Des fois elle est excellente parce que certains de ces criminels ont justement à cœur d’avoir une très bonne réputation. Il faut que sur Internet on dise bien « moi j’ai payé et j’ai récupéré mes données, tout va bien ». Donc il y a en a qui ont une qualité de service qui est absolument remarquable et de fait ça marche bien.
Et puis il y en a d’autres qui développent comme des cochons, il y en a aussi chez les attaquants des gens qui développent comme des cochons et ces gens qui développent comme des cochons soit ils ne sont pas fichus de vous renvoyer votre clef, ils se trompent de clef, soit ils ne vous renvoient rien du tout, c’est une double escroquerie, soit ils se sont loupés dans le chiffrement ce qui fait que quand vous déchiffrez vos fichiers vous avez les 1024 premiers octets et le reste n’est pas déchiffré. Tout existe, on a tout vu.

13’ 52

Très souvent tout ça s’effondre, tout simplement, et typiquement l’attaque WannaCry, c’était au printemps 2017, de fait, ce qu’on a pu tracer, tout ça c’est en source ouverte, c’est que l’attaquant a dû récupérer 30 000 dollars, par contre il a embêté la planète entière avec son truc et avec des conséquences dramatiques pour certains, le pire exemple étant en effet probablement le service de santé britannique : les hôpitaux ne marchaient plus, les systèmes d’ambulance ne marchaient plus, tout s’est complètement effondré. ; c’était un système qui était déjà connu pour être fragile donc ça a été un petit peu le coup de grâce. Tout ça a coûté très cher. Les estimations britanniques sont autour de 90 millions de livres, donc un système qui a déjà des problèmes de moyens il n’a pas besoin de payer ça. Et puis, quelque chose dont on parlera probablement jamais, c’est l’impact sur les personnes, parce que quand il n’y a plus d’hôpital et que les ambulances ne savent plus où aller, eh bien il y a des gens qui meurent probablement de manière prématurée. Et là, ce n’est pas pour faire de l’anxiogène pour l’anxiogène, mais on ne rigole plus, on n’est plus dans le déni de service, on n’est plus dans les pages web trafiquées, on est vraiment dans notre sécurité personnelle qui peut être totalement engagée.

Donc ça c’était WannaCry, ce n’était pas drôle, et c’est d’autant plus instructif que quand on a compris assez vite comment fonctionnait WannaCry – c’est un code assez complexe, c’est un mauvais escroc mais un bon développeur qui a probablement fait ça – on ’est rendu compte qu’il utilisait une faille qui s’appelle EternalBlue et cette faille n’est pas totalement anodine vu qu’elle a été volée à la NSA. On ferait des films avec tout ça, il y en probablement déjà d’ailleurs. C’est assez original ce qui se passe dans ce monde informatique parce qu’on a quand même peu d’équivalent avec le monde classique. De fait, la NSA, grand service de renseignement technique américain, qui fait de l’attaque et de la défense, c’est un peu mon homologue aux États-Unis, ça vous donne un petit peu la teneur des relations internationales que l’on développe, c’est intéressant au sens anglais du terme, ils font beaucoup d’attaques, ils l’assument pleinement. Pour faire des attaques ils développent des outils, ils ont des bases de vulnérabilité. Ils font des outils qui sont plutôt très performants. Quand ça fuite – par contre ils ne sont pas très bons pour garder les secrets, Edward en a fait la preuve – dans ce qui a fuité, c’est une base de données absolument incroyable, on trouve des outils, on trouve les modes d’emploi de ces outils, on trouve les slides, les présentations pour expliquer à quel point tout cela est génial et se faire mousser auprès de ses autorités, on trouve même des compte-rendus de l’utilisation de ces outils pour dire tel machin contre tel site c’est un succès ou, quand on est dans la cible, c’est un peu inquiétant donc on va vérifier après, tout ça est vrai. Et notamment, dans ce qui a été volé à la NSA par un groupe qui s’appelle The Shadow Brokers, qui est groupe ? On ne sait pas ! Eh bien ils ont volé des tas de trucs, ils ont cherché à les mettre aux enchères, je ne suis pas sûr que ça ait marché, et puis ils ont fini par les rendre publics. Il y avait cette faille EternalBlue qui a tout de suite été jugée extrêmement critique par les spécialistes, qui s’attaque à un protocole, qui n’est pas le meilleur d’ailleurs, qui s’appelle SMB et, entre le temps de la publication de la faille, la réaction très rapide objectivement notamment de Microsoft pour patcher ce truc et l’attaque, il s’est écoulé suffisamment peu de temps pour que beaucoup d’utilisateurs n’aient pas eu le temps, n’aient pas pris le temps de patcher les systèmes.
On est dans une situation où des gens très forts se font piquer des choses très dangereuses, imaginez une des premières armées au monde qui se fait piquer des armes, comme ça, il y a vraiment ça dans le monde numérique et puis utilisées par on ne sait trop qui pour faire de l’extorsion, pour faire de l’escroquerie, des choses comme ça.
C’est vraiment contre ça qu’il va falloir apprendre à lutter dans le futur.
Je passe. C’était quand même intéressant l’attaque WannaCry.

Dans la foulée, on a eu NotPetya, un peu différent, qui utilisait d’ailleurs un peu la même faille mais pas seulement. NotPetya c’est un peu différent parce que déjà, quand c’est arrivé, on avait passé un mauvais mois avec WannaCry ; le mois d’avant c’était l’élection présidentielle, on avait également passé des week-ends difficiles. Donc ça recommence. On se dit mince, c’est une malédiction ! Et là, tout de suite, les experts me disent « attention fais gaffe, NotPetya ce n’est pas pareil. Ça ressemble, tout le monde, tous les médias commencent à dire que c’est une nouvelle campagne et ainsi de suite, encore plus forte que la précédente comme à chaque fois. Fais gaffe, ce n’est pas la même. On a commencé à analyser le malware, en fait il ne chiffre pas les données, il les efface. Ou alors il les chiffre et il efface la clef », faire ça c’est probablement la meilleure manière d’effacer. Et là, ce qu’on a compris assez vite collectivement, tout cela est également en open source, c’est qu’en fait c’est l’Ukraine qui était ciblée et qui était ciblée de manière extrêmement habile puisqu’en Ukraine il y a un logiciel de comptabilité publique qui est obligatoire pour déclarer des taxes, des choses comme ça, on doit avoir la même chose en France et dans tous les pays du monde mais ce ne sont pas les mêmes, et l’éditeur de ce logiciel qui s’appelle MEDoc s’est fait attaquer, la mise à jour du logiciel a été corrompue, le malware a été intégré dans cette mise à jour, et ensuite, chacun appliquant probablement les bons principes de l’ANSSI ukrainienne, que je ne connais pas bien mais qui peut exister, chacun a mis à jour ses logiciels et, en mettant à jour, a également récupéré le malware. Donc ça, en termes de ciblage, c’est absolument incroyable. Et en termes d’objectif, c’est purement destructeur. C’est de la mauvaise intention, le but c’est vraiment d’aller embêter la cible, avec là une capacité de ciblage particulièrement intelligente.
Qui c’est ? Qui a pu vouloir comme ça se payer toute l’économie ukrainienne d’un coup ? Nous on ne fait pas d’attribution et c’est assez pratique, mais on peut avoir des idées, ce n’est pas interdit. Mes gars me disent : «L ’Ukraine c’est bien pratique, c’est une sorte de champ de tir numérique », les pauvres, il faut voir ce qu’ils prennent ! Le problème c’est que là encore les charges explosives étaient mal dosées et surtout elles n’avaient pas prévu le fait que ça allait éclabousser complètement en dehors de l’Ukraine pour la simple raison que certes ce logiciel MEDoc est purement ukrainien mais après, les réseaux eux ne s’arrêtent pas aux frontières. Et tous ceux qui avaient un orteil, un bout de réseau, bref, qui avaient une connexion avec l’Ukraine – et c’est le cas de beaucoup de multinationales, évidemment – eh bien il y en a plein qui se font fait infecter par ce truc qui était extrêmement virulent, qui était destructeur. Et là, il n’était même pas question de payer une rançon, c’était complètement bidon cette espèce de pseudo-rançon qui était demandée, puisque de toute manière les données étaient effacées, purement et simplement.
Donc là on change de catégorie, on passe de l’escroquerie, qui peut être parfois menée par des États à des fins de récupération d’argent, à des choses qu’on pourrait quasiment qualifier d’actes de guerre. Et d’ailleurs c’est toute la question pour certains : est-ce que c’est un acte de guerre ou pas ce que je viens de vous décrire ? Il y a notamment, en ce moment, un conflit aux États-Unis entre une société qui a été victime et son assureur, parce que l’assurance cyber commence à se développer, où l’assureur dit « moi je n’assure pas les actes de guerre, allez relire votre police d’assurance, vous verrez que les actes de terrorisme, les actes de guerre, les trucs radiologiques, ne sont pas couverts en général par les polices d’assurance, en tout cas pas les polices standards », et là, si on leur dit « c’est un acte de guerre, c’est l’Ukraine qui se fait bombarder comme ça, moi je n’y peux rien c’est en dehors de la police d’assurance ». et la victime à laquelle ça a coûté quand même pas mal de millions cette affaire, qui dit « je n’en sais rien du tout. Ce que je vois c’est que j’ai payé une police d’assurance pour assurer mes systèmes, que tout est tombé et que maintenant vous refusez de me payer ». Donc ce procès va être intéressant en termes e jurisprudence.
Ça c’était NotPetya, pareil, printemps 2017, particulièrement intéressant.

Et puis on a quelques autres histoires comme ça à raconter de sabotages, d’attaques. On a eu TV5 Monde, en 2015, il y a un attaquant très fort qui s’est dit « je vais me faire TV5 Monde » qui était une victime faible d’un point de vue informatique parce qu’elle ne pensait pas être attaquée, elle ne pensait pas être une cible, c’était même crédible. En fait, tout le monde est une cible. C’est ça la conclusion de tout ça ! Un attaquant très fort s’en est pris à TV5 Monde et n’a pas cherché à lui voler des données ou quoi que ce soit, mais il est entré dans son réseau, il l’a cartographié pendant deux mois et, à un moment donné, ils ont déclenché leur attaque et ils ont détruit tous les équipements de production audiovisuelle, les uns après les autres. Détruire ça veut dire quoi ? Comme fait-on pour détruire des équipements à distance ? Aujourd’hui c’est bien simple, on va bousiller le logiciel qui est à l’intérieur, que ce soit du micro-code ou que ce soit du logiciel sur une couche supérieure mais ça revient à peu près au même. D’abord, l’équipement me marche plus ça c’est très clair et même à réparer – les équipement de TV5 Monde sont partis à la benne, ils ont été remplacés par des neufs un peu mieux sécurisés. C’est totalement irréparable.
Donc on voit apparaître une liaison très forte entre le monde cyber, numérique, éthéré, que certains imaginent ou pensent imaginer, et puis ce monde physique bien réel et ça, c’est l’enjeu auquel on est confronté aujourd’hui. Ce numérique est partout. Vous le savez, il est partout, il est dans les transports, il est dans tous les systèmes industriels. Il n’y a pas que les ordinateurs, il n’y a pas que la bureautique, il y a toute cette informatique industrielle, cette informatique cachée très souvent. Allez aujourd’hui dans une usine moderne, c’est incroyable ! Il y a des automates de partout et dans chaque petit automate, c’est de la taille d’un disjoncteur, à chaque fois il y a un processeur, de la mémoire, un Linux [GNU/Linux] pas patché en général, et puis des moyens de communication. Tout ça a évolué à une vitesse absolument incroyable et, en général, avec une maîtrise très limitée de la part des détenteurs de ces usines. Donc c’est vraiment ça la transformation qu’il y a et tout l’enjeu c’est comment est-ce qu’on fait pour faire cette évolution de manière sécurisée, donc sans ouvrir les portes en grand à tous ces attaquants qui ont les idées, qui ont déjà fait la preuve du fait qu’ils avaient ces idées.

24’ 28

On pourrait prendre plein d’exemples. On peut se faire très peur, sincèrement.

Récupérée de « http://wiki.april.org/index.php?title=Sécurité_numérique_-_Lutte_inégale_entre_le_glaive_et_le_bouclier_-_Guillaume_Poupard&oldid=89165 »