Notes importantes : cet article a été rédigé le 25 février 2017 avant la campagne présidentielle française et avant l’affolement médiatique qu’a pu causer la propagation du ransomware WanaCryptor.

(Définition : ransomware = vient de l’anglais “ransom”(rançon) et “software” (logiciel). On pourrait donc le traduire par rançongiciel. Il s’agit de logiciels malveillants, conçus pour obtenir une rançon de la part des propriétaires des machines qu’ils infectent. En somme ce sont des logiciels qui font chanter leur victimes, la plupart du temps en cryptant leur disques dur à leur insu, et en leur promettant de leur donner la clé de cryptage moyennant une forte somme).

Le rapport demandé 15 février dernier par François Hollande sur la sécurité informatique pendant les présidentielles, ainsi que les accusations de cyber-attaques portées par l’équipe d’Emmanuel Macron à l’encontre de Moscou ont mis brièvement la cybersécurité au cœur du débat public, il était temps d’en parler et pas seulement quand il s’agit de décider qui occupera l’Élysée !

Le 15 février dernier François Hollande a réclamé la rédaction d’un rapport sur les risques de cyber-attaques pesant sur les élections présidentielles. Le ministre des affaires étrangères a par ailleurs rappelé que la France ne tolérerait « aucune ingérence dans son processus électoral », tout en évoquant la possibilité de sanction à l’encontre des pays qui tenteraient d’interférer ainsi dans la campagne. La veille dans une tribune publiée dans le journal « Le Monde », le directeur de campagne d’Emmanuel Macron avait accusé la Russie d’être à l’origine des attaques contre le site d’ « En Marche ! ».

C’est de cette manière, à dix semaines des élections, que la sécurité informatique, enjeu majeur s’il en est, s’est invité dans la campagne présidentielle. Que les accusations de l’équipe de campagne de M. Macron soit fondées ou non, il était temps d’amener ce sujet sur la table.

Au-delà des déclarations de principe et des rapports, quelles seraient les solutions pour améliorer la cyber-securité dans notre pays ? Il ne sera pas ici question de la seule sécurité de nos administrations publiques, mais également de celle de nos entreprise et de nos citoyens.

candidat-e-s-parlons-enfin-cyber-securiteProtection des citoyens : manifeste pour un antivirus public et obligatoire

Autant l’annoncer d’emblée, il y a un parti pris dans cet article, celui qui estime que la cyber-sécurité des citoyens devrait être une mission de service public. De même que la sécurité du monde « réel » est une des missions régaliennes de l’État, ce dernier devrait également veiller à ce qu’il y ait un bon niveau de sécurité dans notre monde virtuel. Pour ce faire la puissance publique a plusieurs outils à sa dispositions (une bonne campagne de pub contre les malwares à la télévision sensibiliserait un public assez large) mais le plus efficace reste quand même l’outil juridique. La loi pourrait ainsi intimer aux utilisateurs d’Internet l’ordre de se munir d’un antivirus.

Pas convaincu par l’antivirus obligatoire ? Cette mesure vous paraît trop contraignante, trop intrusive ? Dans ce cas lançons-nous dans une petite comparaison avec le monde réel. Prêts pour un petit retour en cours de droit ?

Imaginez un quartier calme paisible constitué de plusieurs pâtés de maison. Un jour un de ces blocs prend feu, aucune bâtisse n’est épargnée. On s’aperçoit rapidement que l’incendie provenait de la demeure de M. Bob. Il a laissé le feu se propager chez lui et même s’il ne l’a pas déclenché intentionnellement, il a commis ce que l’on appelle en droit français une négligence coupable, car s’il avait fait un minimum attention il n’aurait pas laissé le feu se propager jusqu’à détruire sa maison puis celle des autres. C’est suffisant pour engager la responsabilité de M. Bob. En plus de ça celui-ci n’avait pas souscrit à une assurance habitation et devra payer de sa poche la réparation des dégâts. Heureusement d’ailleurs qu’il ne fut pas locataire car l’assurance habitation est obligatoire et dans cette situation : il se serait fait également poursuivre par le propriétaire.

Bien sûr ce genre d’affaire se règle au cas par cas et s’il est avéré que l’ami Bob ne pouvait pas empêcher le feu peut-être qu’il arrivera à s’en tirer devant les tribunaux (il devra toujours rembourser les dégâts causés)… Toujours est-il que le principe général c’est que chacun est responsable de ce qui arrive chez lui, donc si Bob a laissé le feu se propager chez lui jusqu’à embraser les habitations voisines il est normal qu’on lui demande de rendre des comptes.

Maintenant remplacez les maisons par des ordinateurs et le feu par un malware… Imaginez un seul instant que l’on applique à ceux qui propagent les logiciels malveillants sur le réseau les mêmes sanctions que ceux qui laissent le feu se propager dans les zones résidentielles ? On pourrait considérer que ces personnes ont eux aussi commis une négligence coupable en laissant ledit malware infecter leur ordinateur puis infecter ceux des autres. Un malware infecte en général plusieurs centaines voire plusieurs milliers de machines, et cela ferait pas mal de monde à sanctionner !

Du point de vue de la loi française, un citoyen n’est pas obligé de se protéger sur Internet. Juridiquement, un particulier lorsqu’il surfe sur Internet ou qu’il consulte ses mails n’a aucune obligation d’installer un antivirus sur sa machine. La seule restriction à ce principe concerne les connexions aux réseaux privés – Intranet – au sein d’une entreprise d’une école ou d’une ONG par exemple. Ici l’organisation en charge de ce réseau peut si elle le souhaite imposer un règlement interne qui obligerait à toute personne souhaitant se connecter d’installer un antivirus.

Le hic c’est qu’un malware se propage exactement comme un feu : par les maisons qui sont les plus vulnérables. Selon la loi tout logement doit être équipé d’un détecteur de fumée, pourquoi n’imposerait-on pas que toute machine qui pourrait se connecter à internet soit équipé d’un anti-malware ? Et d’un point de vue juridique peut très bien considérer Internet comme une immense co-propriété. Dans ce cas chacun devrait être tenu de s’assurer et de se protéger. En obligeant les particuliers à s’équiper d’antivirus on réduirait les failles individuelles, ce qui renforcerait la sécurité collective. Légiférer en faveur d’un antivirus obligatoire c’est éviter la propagation des malwares.

Protéger nos entreprises : mettons nos entreprises au normes !

Selon une étude de 2013, l’espionnage industriel coûterait chaque année 46 milliards d’euros aux entreprises françaises. « Les hackers mettent moins d’une journée à pénétrer le réseau d’une société. Mais il faut en moyenne 200 jours pour que les entreprises le détectent. Donc vous voyez bien que le hacker a du temps devant lui avant d’être repéré. Et comme il est malin, il ne vous détruit pas les données, il les copie » selon Alain Bouillé qui dirige le CESIN, une association se décrivant elle-même comme un « club des experts de la sécurité informatique », qui bénéficie d’une certaine notoriété dans le domaine de la cyber-sécurité en France.

Là encore même si des campagnes de préventions ont été lancées par l’organisme publics en charge de la sécurité informatique en France (baptisée l’ANSSI), plus de moyens devraient être mis en œuvre pour sensibiliser les entreprises et notamment les PME qui n’ont souvent pas de budget conséquent à allouer à leur cyber-sécurité.

Là encore une campagne de prévention réglerait bien des problèmes… Et en ce qui concerne l’outil juridique l’état serait bien avisé de troquer quelques centaines de normes qui sont autant de bâtons dans les roues pour une boite par une norme sur la sécurité informatique. On pourrait même organiser des contrôles de la part de l’ANSSI (de la même manière que l’URSAAF organise des contrôles) auprès des entreprises pour vérifier si une entreprise respecte les normes de sécurité informatique.

Partis politiques et campagnes : faire preuve de volontarisme.

On a bien vu ces derniers mois ce qu’une bandes de hackeurs russes pouvaient faire comme pagaille quand ils se lançaient dans une cyber-attaque du parti démocrate ! Si le coût astronomique de l’espionnage industriel en France – mentionné plus haut – ne vous a pas convaincu de l’importance de la sécurité informatique, peut être que les conséquences de l’affaire des e-mails d’Hillary sur la campagne démocrate seront plus explicites !

Il d’ailleurs bon de rappeler comment s’est déroulé le piratage des fameux e-mails de la candidate à la Maison Blanche. Tout commence lorsque John Podesta – directeur de campagne d’Hillary –  reçoit sur son adresse Gmail une missive de Google lui demandant de changer son mot de passe. Podesta fait alors suivre ce mail à un informaticien pour lui demander si ce mail est authentique ou non. Ce dernier selon ses dires a commis une faute de frappe lorsqu’il a rédigé la réponse – voulant écrire It is illegitimate (traduisez c’est un faux) il envoie la réponse It is legitimate (c’est authentique). Confiant, le directeur de campagne clique sur le lien du mail et renseigne son ancien mot de passe… Vous avez bien compris… l’affaire qui a le plus plombé la campagne d’Hillary Clinton se résume à un phising tout ce qu’il y a de plus bête. On pourrait commenter cette affaire de plusieurs manières (elle a été maintes fois commentée de toutes façons…) mais on peut s’accorder sur deux choses :

1) Il n’est a priori pas normal qu’un fournisseur de mail vous demande de son propre chef de changer votre mot de passe

2) Gmail n’est pas réputé pour être la messagerie la plus sécurisé de la planète il est assez étonnant que l’équipe d’Hillary Clinton ait choisit de l’utiliser pour la campagne de 2016.

D’une manière générale on constate un certain laxisme de la part des politiques quand il s’agit de cybersécurité lors des campagnes. Antoine Champagne, journaliste, et Olivier Laurelli, hackeur et lanceur d’alerte notoire concernant la cyber-sécurité, ont récemment alerté l’opinion publique quant aux failles de sécurité béantes concernant les sites Internet de François Fillon et d’Emmanuel Macron.

Il est temps pour les candidats et les partis politiques de se rendre compte que de telles failles de sécurité peuvent avoir une incidence très lourde sur le résultat des élections et par conséquent sur l’orientation de la politique du pays. Le gouvernement semble d’ailleurs aller dans ce sens. Le secrétariat général de la défense et de la sécurité nationale avait ainsi convoqué en septembre dernier l’ensemble des responsables informatiques des partis politiques et des instituts de sondages pour faire un point sur la cybersécurité

Administrations publiques : passons au logiciels libres.

Les institutions publiques ont également quelques efforts à faire. En 2013, un groupe de hackeurs / lanceurs d’alertes avaient fait savoir qu’ils avaient pu accéder sans peine aux e-mails de plusieurs euro-députés ainsi que ceux de leurs assistants parlementaires. La cyber-sécurité est en effet loin d’être optimale dans plusieurs dans nos institutions, y compris dans celles qui devrait êtres les plus sures.

Vous conviendrez qu’il y ait certaines administrations publiques renferment en leur sein des informations sensibles ? Vous conviendrez également que le ministère de la défense soit inclus dans cette catégorie ? Il ne serait donc pas normal selon toute bonne logique qu’un ministère comme celui-ci ait un équipement informatique fonctionnant avec un système d’exploitation propriétaire conçu par une entreprise étrangère qui a la réputation d’être approximative dans la maintenance de ses produits… C’est pourtant avec Microsoft que l’Hôtel de Brienne a conclu, il y a des années déjà, un accord visant à équiper les quelques 200 000 ordinateurs de l’armée française avec ses logiciels. L’accord a été conclut en 2008 par Hervé Morin ministre de la défense de l’époque et renouvelé en 2013 par Jean-Yves le Drian (saluons également Alain Juppé qui n’a rien trouvé à redire au contrat quand il était lui-même ministre de la défense!).

Au-delà de cet exemple particulièrement choquant (osons-le dire) il convient de souligner que l’armée est loin d’être la seule institution publique à faire appel aux services de Microsoft. De nombreux ministères mais également conseils régionaux municipaux ont passé des contrats avec la firme fondée par Bill Gates. Et au-delà des enjeux de sécurité informatique (est-il besoin de rappeler l’implication de ladite firme dans le scandale PRISM ?) est-il avisé en cette période où l’on coupe dans les dépenses d’à peu près tous les budgets de contracter pour plusieurs millions d’euros avec des sociétés étrangères quand on peut utiliser des systèmes d’exploitations et des logiciels libres ?

candidat-e-s-parlons-enfin-cyber-securite-02Linux dans les administrations publiques, ça n’est pas qu’une utopie. Ça existe dans un bon nombre d’endroits partout dans le monde. En Chine par exemple les ordinateurs des institutions de l’Empire du Milieu fonctionnent depuis des années avec des distributions chinoises de Linux (le plus célèbre se nomme Kylin, développé pour les serveurs de l’armée chinoise). Pékin a en effet interdit en mai 2014 l’utilisation de Windows dans l’ensemble des administrations publiques. Il est à noter que les USA de leur côté surveillent également de près les ordinateurs utilisés dans leurs administrations (au niveau matériel chaque composant d’un ordinateur doit être à 100 % fabriqué aux États-Unis).

Cela existe également en France. Depuis 2011, la gendarmerie nationale utilise un système d’exploitation maison : GendBuntu. Ce dernier est dérivé d’Ubuntu, la version de Linux la plus populaire à l’heure actuelle. La gendarmerie nationale a dans les années 2000 migrée progressivement de Windows vers Linux, sans que cela n’ait considérablement pertburbé son travail. Ce bel exemple devrait inciter l’ensemble des services publics français a en faire autant !

Article écrit par Adrien Dumont

Répondre