« Le problème du numérique, c’est qu’il donne l’impression d’être hors de notre portée et que comme nous ne le comprenons pas, nous préférons déléguer notre protection »

Eric Meillan

Par Martine Arino

Docteur en sciences de l’information et de la communication

Consultante pour l’institut de recherche action, IRASS

Depuis la naissance de l’Internet grand public, à peu près en 1980, le nombre d’internautes double chaque année. Le cyberespace ne cesse de s’agrandir et devient donc de moins en moins contrôlable faisant le terreau du développement d’une cybercriminalité sans frontière. Celle-ci concerne tous les usagers ; les citoyens, les organisations et les Etats. Il est donc temps de développer une culture de la sécurité numérique.  Internet a suscité une littérature savante abondante entre technophiles et technophobes. Pour le philosophe, Pierre Lévy[1] nous sommes passés d’une humanité à une autre. A l’inverse pour Paul Virilio[2], les nouvelles technologies d’information et de communication sont avant tout des technologies de guerre permettant non seulement de développer de la désinformation mais également pouvant mener à une autre forme d’action militaire, la guerre virtuelle.

Deux spécialistes des questions de sécurité, François Levieux, ex directeur de recherche à l’Institut National de Recherche en Informatique et Automatique (INRIA) et ex directeur technique du groupe de défense de THALES et Eric Meillan ex sous-directeur de la DST et directeur de l’inspection générale des services IGS, docteur en sociologie juridique, ont écrit à partir de leurs expériences de terrain et de leurs réflexions, un ouvrage « survivre à la guerre numérique ». Le titre interpelle de par l’utilisation des mots « survivre » et « guerre ». Est-ce une hyperbole ou une réalité ? Ce titre a suscité mon intérêt pour sa lecture. N’étant pas informaticienne, mon compte rendu pêchera dans la restitution des enjeux techniques fournis par le livre. Travaillant par moment sur des données sensibles, gérant mes comptes à distance, faisant mes courses sur l’internet…

                                                                                               

 

Ce livre m’a fait prendre conscience de la nécessité d’être plus prudente, en protégeant mieux mes données. L’ouvrage appelle deux lecteurs ; celui qui s’intéresse aux usages et celui qui est dans la construction de ses usages.

La guerre numérique n’a ni de lieu, ni de temps, ni de combattants identifiés. Mais elle peut à tout moment, à la vitesse de la lumière, frapper des citoyens, des entreprises et des Etats. La menace est d’autant plus à prendre au sérieux qu’elle est invisible et donc imprévisible.

Une guerre du « non-lieu » pour reprendre un concept de l’anthropologue, Marc Augé qui est le produit de notre « surmodernité ». L’anthropologue avait énoncé que la surmodernité s’accompagne d’une prolifération des « non lieux ».

Les lieux anthropologiques, selon Marc Augé[3], sont « identitaires, relationnels et historiques » (p. 69). Ne répondant peu ou pas à ces caractéristiques, les espaces virtuels créés par l’Internet forment des non-lieux, espace interchangeable où l’être humain peut rester anonyme. Il est donc difficile de se représenter « une guerre » dans un non-lieu, la guerre a souvent été menée pour la conquête de territoire. La non territorialité d’internet la rend ainsi difficilement imaginable. D’où tout l’intérêt de cet ouvrage !

Il propose de répondre juridiquement et socialement aux attaques numériques.

Dans un premier moment, il est exposé les enjeux techniques, industriels, juridiques, sociaux et organisationnels de cette lutte pour terminer par des solutions opérationnelles pour appréhender ces menaces.

Les réponses peuvent être simples mais elles sont de la responsabilité des décideurs.

Ce sujet est-il plus d’actualité aujourd’hui qu’hier ? Tout notre quotidien est rythmé par le numérique. Il est difficile d’y échapper. Nos téléphones, nos appareils ménagers, nos habitations, nos objets de santé et nos ordinateurs sont connectés. Les auteurs dressent une liste d’exemple d’usage d’internet sans précaution élémentaire de sécurité qui a eu de graves conséquences. Ainsi, ils citent l’utilisation non sécurisée de la messagerie d’Hillary Clinton. 

Il est également démontré le contrôle d’internet via quatre groupes américains, liés par des échanges d’information. L’affaire Snowden au sujet de la surveillance des données à partir de fournisseurs d’accès en est le plus illustre cas.

La standardisation des logiciels a permis de faire des économies mais a rendu les produits très vulnérables aux attaques. Les auteurs développement toutes les failles techniques de ces logiciels ainsi que ceux de l’open source en montrant que la sécurité est « un problème de système et non pas de machine ». (p. 56) Ils apportent des solutions techniques en annexe 3 de l’ouvrage « les principaux produits de sécurité informatique ». L’évolution très rapide des produits informatiques car soumis à la concurrence, ne permet pas de rimer avec sécurité.

L’exemple le plus parlant soulignant objectif de rentabilité d’exploitation et faiblesse de sécurité est le cloud ou « informatique dans le nuage » (p. 70) La virtualisation des logiciels et des données permet en tout point du réseau d’avoir accès à ses applications et à ses fichiers. Nous confions ainsi toutes nos informations à un fournisseur externe.

Plus que l’usage sans vigilance, les dangers de la standardisation et de l’informatique généralisée, la législation n’est plus en adéquation avec la hauteur des menaces. Comment établir la juste mesure entre la sécurité d’internet et la liberté d’expression ? 

Comment légiférer sur des attaques pirates qui sont transfrontalières ? La diffusion des données sur le cloud vient compliquer la chose. Où sont les données ? Les auteurs appellent de leurs vœux un accord international global « qui permettrait de traquer les responsables d’agressions informatiques partout dans le monde, au moyen de la seule voie judicaire. » (p.79)

Après un état des lieux de la situation critique de la sécurité informatique en partie 1, la suite de l’ouvrage propose des éléments de réponse, partie 2 : « une riposte ? »

La riposte doit être menée à l’aide d’une large batterie de produits de sécurité. Plus le système d’information sera isolé des réseaux et plus il sera difficile d’y pénétrer. La sécurité doit donc se concevoir dès la création du système. Les auteurs proposent de cartographier les réseaux d’interconnexions de son système afin de mieux localiser les problèmes de sécurité. L’humain ne doit pas être oublié au milieu de toutes ces machines. Ainsi, les gestionnaires, les utilisateurs et les dirigeants doivent être formés aux enjeux d’une politique sécuritaire. Tout un protocole de sécurisation tant en matière d’organisation technique, humaine, et des informations est ainsi mis en lumière. L’ouvrage se termine par 9 annexes qui sont des études de cas d’attaques les plus notoires et des méthodologies de solutions.

Pour conclure, aujourd’hui, toute notre organisation sociale passe par le numérique. Il est partout tant dans le domaine public que privé. L’électricité, l’eau, les réseaux de communication, une attaque pourrait ainsi couper toute distribution d’eau, d’électricité, de communication … et paralyser tout un pays.

Nous devrions savoir gré aux auteurs de nous avoir alertés sur des menaces nous concernant toutes et tous et aux conséquences irréversibles dans un exercice de style mêlant pédagogie via les différents exemples pris dans l’actualité et technicité via la richesse des informations fournies.



[1] Pierre Lévy, L’intelligence collective. Pour une anthropologie du cyberespace. La Découverte, Paris, 1994, p.11.

[2] Paul Virilio, Cybermonde, la politique du pire, Textuel, Paris, 1996, p.88.

[3] Marc Augé, Non-lieux, introduction à une anthropologie de la surmodernité, La Librairie du XXe siècle, Seuil, 1992.