Publié le 7 juin dernier, La Face cachée d’Internet propose de démystifier les mythes qui gravitent autour du cyberespace. Son auteure, Rayna Stamboliyska, est experte en gestion des risques. Elle a accepté de lever le voile sur quelques outils de défense numérique, pour une meilleure appréhension de la cybersécurité. Entretien.
RFI : Ces dernières semaines, les attaques informatiques ont fait la Une, avec WannaCry et NotPetya. Sont-elles plus fréquentes qu’avant ou simplement plus médiatisées ?
Rayna Stamboliyska : Nous sommes cyber-morts deux fois en deux mois. Attention, il ne s’agit pas de minimiser l’impact de ces crises mais de remettre les choses en contexte : les rançongiciels existaient déjà il y a quelques années mais on en parlait moins. Certaines attaques sont spectaculaires. Quand, le même matin, vous avez Twitter, YouTube, Airbnb qui ne répondent plus, cela sort du périmètre réservé aux spécialistes et cela touche à peu près tout le monde. Donc, beaucoup de gens hors milieux spécialisés voient qu’il y a un problème.
L’Agence de santé britannique a été touchée par le rançongiciel WannaCry parce qu’elle utilisait un système d’exploitation obsolète et faillible (Windows XP).
Ce que montre ce cas est les dysfonctionnements de gouvernance. Le plus souvent, les gens qui s’occupent des aspects techniques ne prennent pas les décisions. Donc vous avez beau répéter à l’envi que la vétusté des systèmes pose des problèmes (par exemple, que depuis cinq ans l’infrastructure de l’hôpital est ouverte à tous les vents sur Internet), on vous répond : « Ce n’est pas grave, jusque-là, il ne s’est rien passé.» Jusqu’au jour où il se passe un problème… Il y a un manque de sensibilisation aux enjeux. Par ailleurs, il faut comprendre la spécificité d’un incident : ce qu’il se passe exactement au moment de l’attaque et l’anticipation des réactions en face, changent constamment. Il faut des compétences particulières pour gérer ce genre de situations correctement, ce n’est pas le cas de toutes les entreprises.
Ce qui est important pour se prémunir contre cela, ce n’est pas tellement de savoir comment une attaque marche techniquement. Les réponses techniques qu’on peut apporter aujourd’hui seront trop vieilles dans deux mois. Ce que l’on doit faire, entre autres, c’est des mises à jour : il s’agit souvent de correctifs de failles découvertes par l’éditeur du logiciel. On est ainsi prémuni contre des choses déjà corrigées (pour rappel, un correctif qui aurait pu éviter la catastrophe WannaCry était disponible 2 mois avant la propagation du rançongiciel).
Plus largement, lorsqu’on souhaite prévenir les problèmes, on fait des modèles de menaces. Ce n’est pas une solution miracle, mais on dort mieux quand on a écarté la plupart des problèmes stupides qui peuvent faire beaucoup de dégâts. Quand vous êtes une institution publique, vous allez être beaucoup plus souvent confrontée au hameçonnage (« phishing »), très souvent de nature crapuleuse, et beaucoup moins souvent à de hackers russes qui veulent faire exploser les centrales nucléaires françaises. Quand vous êtes une TPE/PME, le harponnage (« spearphishing ») et plus largement, l’attaque au président, vous menace beaucoup plus que les hackers russes.
Que préconisez-vous pour que ce genre de négligence se reproduisent moins souvent ?
Il faudrait déjà avoir une culture numérique de base : les antivirus, qu’on vend très cher, ne sont pas vraiment efficaces – et cela fait des années qu’ils ne le sont plus. C’est bien d’en avoir, parce que cela protège contre des fichiers vérolés. Mais ce qui est encore mieux, c’est de savoir ce qui pourrait mal se passer et comment le prévenir. Notamment, garder toujours ses logiciels à jour est une obligation. C’est-à-dire ne jamais désactiver Windows Update si votre système d’exploitation est Windows. Idem pour le reste des logiciels que vous utilisez : quand votre navigateur vous annonce que « Des mises à jour sont disponibles, souhaitez-vous les appliquer ? », ne pas vous dire : « J’ai mes vingt onglets, je vais tout perdre. » Non, vous les mettez en favoris, vous faites les mises à jour et vous redémarrez.
De manière générale, vu qu’Internet fait partie de notre quotidien, il faut essayer d’avoir les mêmes réflexes envers sa vie d’internaute qu’envers son comportement dans la rue : quand je traverse, je vais quand même regarder de tous les côtés s’il y a une voiture. Si la voiture est à cinq mètres, je ne vais pas me mettre à traverser parce que les risques que je me fasse renverser ne sont pas négligeables. C’est la même chose sur Internet : de nombreux services que nous utilisons peuvent cacher des menaces ; par exemple, certaines pubs sont vraiment intrusives et récupèrent beaucoup d’informations sur votre navigation web. Donc vous privilégierez un bloqueur de pubs, comme uBlock, plus propre qu’AdBlock Plus qui vend de la pub lui-même.
Quant à la manière de se tenir au courant des différentes astuces, on doit, chacun et chacune, chercher à en savoir davantage sur les différents aspects de notre vie connectée. On nous parle beaucoup des perturbateurs endocriniens, beaucoup de gens autour de moi sont adhérents de l’UFC-Que choisir et de 60 millions de consommateurs. Cette démarche-là d’éducation personnelle, appliquons-là aussi à notre propre hygiène numérique. Il faut casser cette idée que l’Internet est un espace à part. Non, c’est un espace ou pratiquement tous les humains sont présents, avec leurs interactions, leurs problèmes, leurs activités plus ou moins criminelles ou criminogènes.
La différence est que sur Internet, on peut se voiler la face : si on désactive Windows Update, on ne voit plus les mises à jour, alors que si la voiture est à cinq mètres, on est obligé de la voir.
Oui, sauf qu’à force de ne rien voir et de rater le train numérique, dans cinq ans, quand nos voitures reposeront sur ce genre de systèmes, on aura vraiment l’air malin. Pourquoi ma voiture ne veut pas démarrer ? Parce que tu n’as pas fait les mises à jour et elle ne sait plus comment le faire. Aujourd’hui, les babyphones, les webcams, les grille-pains et autres sextoys peuvent être touchés par une attaque informatique, et c’est un problème. Cela veut dire que ces objets sont connectés à Internet. Leur commercialisation répond à un besoin client, certes, mais cela ne signifie pas pour autant que la mise sur le marché doit être d’objets non sécurisés. Le jeu ici est bidirectionnel : vous en tant qu’entreprise vous en fichez… tant que vous en tant que client en pâtissez, de cette négligence. La sécurité n’est pas une lubie, mais une question de confiance : dans le langage business, plus vos clients vous font confiance, plus vous gagnez des sous.
Un autre type d’intrusion dans notre vie privée numérique vient aujourd’hui des États eux-mêmes, via leurs agences de renseignement.
Ce genre de risque est plus inquiétant encore que des attaques au rançongiciel, parce que sur ces attaques, on a une prise. Nous n’en avons aucune sur la surveillance généralisée et décidée administrativement. Autrement dit, il faut se rappeler que c’est la dose qui fait le poison : les services font leur boulot… jusqu’à ce que ça dépasse les limites acceptées dans une démocratie. Ce qu’on peut se dire est qu’il y a une radicalisation des gens qui prennent ce type de décisions. Quand on est paranoïaque, si l’on ne procède pas à un reality check de temps à autre, rien ne nous empêche de sombrer dans cette paranoïa. Vous voyez des menaces partout et votre réaction logique va être d’augmenter ce que vous percevez être le niveau de protection. Heureusement, il y a des associations et des défenseurs des droits numériques pour faire faire ce reality check.
Comment fait-on pour ne pas sombrer dans une paranoïa ou dans les effets d’annonces ?
Il faut distinguer le sentiment d'(in)sécurité des conditions matérielles de sécurité. Quand on dit que l’on va contourner les chiffrement pour intercepter les terroristes en devenir et anticiper leurs attaques, le discours visé est : « Ne vous inquiétez pas, nous avons les moyens d’assurer votre sécurité ». Techniquement, ce que j’entends, moi, est que l’ennemi visé ici, c’est les maths et pas le terrorisme – outre le fait que plein de terroristes ne discutent pas en conversations chiffrées. En effet, malgré une médiatisation abusive de ce point, lorsqu’on échange avec des gens et souhaite parvenir à un effet de masse, on ne se cache pas : on utilise des applications avec un élément social facile à mobiliser.
Or, cette hypermédiatisation agit comme un épouvantail. Le souci dans les appels politiques en faveur d’un affaiblissement du chiffrement est qu’en affaiblissant le chiffrement sous prétexte d’intercepter un certain type de communications, on compromet le medium pour justifier l’éventuelle anticipation d’un de ces usages très minoritaires. Cela signifie qu’à terme, si l’on va dans cette voie, tout le monde pourra prétendre être votre banque, donc avoir accès plus ou moins facilement à vos identifiants donc à votre compte.
Dans votre livre, vous préconisez le logiciel libre dans une bonne hygiène numérique, tout en précisant que c’est largement insuffisant.
Le logiciel libre et open source, c’est tout logiciel dont le code est ouvert à tout le monde, donc tout le monde, peut s’en servir, le distribuer, l’étudier, le modifier (certes, cette dernière activité sera plus simple pour ceux qui en ont les capacités techniques). Il y a quelques années, on se transmettait des CD crackés, des contrefaçons. Avec le logiciel libre, cette notion-là n’existe pas : vous n’avez pas de restriction quant à la transmission, la modification et la diffusion. Prenons comme exemple le navigateur web Mozilla Firefox : vous pouvez le télécharger autant de fois que vous le souhaitez, vous n’avez pas à acheter un système d’exploitation dans lequel il sera compris (comme Safari d’Appel ou Internet Explorer/Edge de Microsoft) pour vous en servir.
Il y a un avantage certain à utiliser un système d’exploitation libre et dont le code est ouvert tel qu’Ubuntu plutôt que Windows car, comme le code est ouvert, il est constamment audité, examiné, modifié, amélioré par de nombreux utilisateurs. Cela ne veut pas dire qu’il n’y a aucune vulnérabilité dans un logiciel libre, mais la correction est rapide et vous avez tout de suite des alertes de sécurité.
Il y a d’autres aspects intéressants notamment dans votre interaction avec la machine. Sur Windows par exemple, si on ne vous restreint pas les permissions, vous êtes automatiquement administrateur de votre machine. Ce qui est un problème, parce que si j’arrive à prendre la main, je suis directement administrateur. Aussi, vous pouvez installer n’importe quoi sans vous poser aucune question. Dans le cas d’un système d’exploitation libre, la machine vous demande : « Êtes-vous sûr de vouloir faire cette opération ? Pour le faire, indiquez votre mot de passe administrateur. » Il y a une étape en plus, qui vous fait réfléchir : ai-je vraiment besoin de ce truc-là ? Par ailleurs, les sources des mises à jour peuvent être éditées par vous-mêmes si vous le voulez (on apprend vite, pas d’inquiétude). L’internaute est davantage responsabilisé, moins infantilisé à aveuglément suivre les décisions de quelqu’un d’autre.
Comment voyez-vous l’avenir concernant la réglementation européenne et française en matière de vie privée sur Internet ?
En novembre, cela fera deux ans que l’on sera sous état d’urgence – un état d’exception – et pourtant cela n’a rien empêché, malheureusement.
On pourrait répondre : cela n’a pas marché parce que l’on n’en a pas fait assez.
A-t-on une étude d’impact ? Qu’est-ce qui n’a pas marché ? Pour moi, il n’y a pas assez de personnes disponibles pour analyser les palanquées de données que les services collectent. De plus, quand les soldats de l’opération Sentinelle sont fatigués, ils loupent des choses, c’est normal. Il y a une dilapidation de moyens dans un mauvais sens.
Rançongiciel (« ransomware » en anglais)
« C’est un logiciel qui va prendre le contrôle de vos données et qui va vous dire : « Si vous voulez les revoir, il faut me payer. » Après,il y a différents types : certains chiffrent vos données et vous donnent les clés de déchiffrement après. Vous vous êtes acquitté de la somme demandée – le plus souvent en bitcoin, la monnaie virtuelle – donc tout va bien. D’autres vont effacer des données ou vous mettre la pression en disant : « Si vous ne me payez pas dans l’heure qui vient, je vais effacer tel répertoire ou tant de gigaoctets de vos photos de vacances… » L’idée est de jouer sur la notion d’urgence. On a aussi vu sur le marché des rançongiciels qui ne chiffraient rien du tout, qui faisaient juste apparaître un écran moche, kitschissime, avec des têtes de mort pixelisées. Pourtant, les gens se faisaient avoir, parce qu’ils étaient tellement stressés qu’ils se débrouillaient pour payer. »
Hameçonnage (« phishing » en anglais)
« Je vais prétendre être un acteur reconnu ou de confiance (EDF, les impôts, etc.) et je vous demande de cliquer ici pour vous connecter sur votre espace personnel ou pour payer vos impôts. L’e-mail a l’air d’émaner vraiment d’EDF ou des impôts. Ce clic va vous amener sur un site où vous allez rentrer vos coordonnées bancaires par exemple et payer un montant, vos impôts ou un excédent quelconque. Sauf que les impôts n’envoient jamais de demandes de paiement par e-mail. Il s’agit d’un fichier qu’on va envoyer en masse, à n’importe qui, de manière pas du tout ciblée. Il y a des palanquées de sites qui existent avec des adresses e-mails, ou alors vous pouvez en récupérer à partir d’une adresse plus ou moins publique – parce que quelqu’un a mal sécurisé son MailChimp [un site d’envoi automatisé de newletters] – ou encore vous achetez juste un fichier auprès de n’importe quelle conférence ou événement pour quelques euros. Vous pouvez aussi faire toutes les variantes d’un nom grâce à un petit script facile à fabriquer. Si cela n’aboutit pas, ce n’est pas grave, cela ne vous a rien coûté, et dans le tas, il y aura des gens qui vont cliquer.
Beaucoup d’institutions, lorsqu’elles veulent faire de la prévention, pèchent dans leur manière de formuler les choses en disant : « N’ouvrez pas des e-mails suspects. » Comment puis-je savoir s’il est suspect sans l’ouvrir ? Copier l’habillement d’un site web, c’est trivial. Vous allez avoir un nom de domaine émetteur qui ressemble. L’exemple classique, c’est google.co, gooogle.com, gogle.com pour google.com. Parfois aussi, dans le texte, il y a des caractères particuliers. Mais en fait, on ne va jamais le voir parce que le logiciel de messagerie que la plupart des gens utilisent, qui est Outlook, interprète ces caractères-là. Ce que vous voyez à l’oeil, c’est un « e » normal, alors que quand vous le copiez en texte brut, avec un éditeur de texte tel que Notepad, vous voyez qu’il y a des caractères bizarres dedans. Si vous n’êtes pas sûr, il vaut mieux appeler le fournisseur de service en question. Plutôt que de cliquer sur le lien, vous pouvez faire un clic droit, puis le copier dans un éditeur de texte pour se rendre compte de la tête qu’il a. Par exemple, il n’y a aucune raison qu’EDF vous envoie un lien en format bit.ly [format pour rétrécir une URL]. »
Harponnage (« spearphishing »)
« Là, nous sommes dans une situation très différente du hameçonnage : plutôt que d’avoir une attaque en masse, on va cibler quelques personnes-clés et on va essayer de tout savoir sur elles : avec qui elles discutent et donc à qui sont-elles susceptibles de répondre facilement et sans se poser trop de questions ? Comment ces gens-là discutent entre eux, quels sont les types de blagues qu’ils se font ? Les réseaux sociaux sont parfaits pour cela : en analysant les 2000 derniers tweets de quelqu’un, vous avez un graph social très précis. Le harponnage se prépare vraiment : il faut que vous connaissiez le nom du chien de la secrétaire de la personne visée. Si j’arrive à lui faire croire que je suis légitime pour lui poser les questions que je vais lui poser et qu’elle me donne les réponses, elle peut m’ouvrir des portes dont j’ai besoin. La motivation n’est pas du tout la même que pour le simple hameçonnage : le harponnage prend du temps, et donc de l’argent. Il va plutôt concerner l’espionnage industriel. »
The Onion Router (Tor)
« C’est un logiciel qui rend votre navigation anonyme. Attention : cela signifie que votre fournisseur d’accès ne sait pas sur quels sites vous allez. Toute la communication entre votre ordinateur et le site cible est masquée. Mais si vous utilisez Tor et que vous vous connectez à Facebook, certes votre fournisseur d’accès ne le saura pas mais Facebook saura que c’est vous grâce à vos identifiants de connexion. Quand on parle d’anonymat, il faut toujours se demander par rapport à quoi et à qui.
Le navigateur Tor, qui est un navigateur Firefox modifié, bloque la plupart des trackers [petits programmes qui enregistrent vos données de navigation] initialement présent dans Firefox, Chrome et autres. Il va en plus vous proposer différents « modes parano ». Si vous mettez votre fenêtre de navigation en plein écran, par exemple, le « mode très parano » vous enverra un avertissement : « Attention, mettre en plein écran peut renseigner les sites sur lesquels vous allez sur votre résolution d’écran. » Il propose aussi des outils qui forcent votre navigation à être la moins faible possible. Pour aller vraiment dans les détails techniques, il faut avoir une connaissance plus avancée, mais si l’on veut seulement utiliser le navigateur Tor, il n’y a besoin d’aucune compétence. »
The Amnesic Incognito Live System (Tails)
« C’est un système d’exploitation au même titre que Windows, Mac ou Ubuntu, sauf que vous ne l’installez pas sur votre ordinateur mais sur une clé USB. Vous l’insérez ensuite dans votre ordinateur et, au lieu de démarrer l’ordinateur sur le disque dur normal (par défaut sur Windows ou Mac), vous lui indiquez que vous voulez qu’il se lance sur Tails, sur la clé USB.
C’est la distribution la plus anonyme possible : toutes les fonctionnalités comme la sauvegarde des mots de passe dans le navigateur sont désactivées, vous ne pouvez rien installer si vous ne définissez pas d’identifiants administrateur au départ, toute la navigation passe par Tor et les VPN [Virtual Private Networks, ou réseau privés virtuels en français]. Si je veux me connecter à mon webmail dans un lieu public, je pars du principe que je ne connais absolument pas la qualité du réseau wifi. Il ne m’appartient pas donc je ne sais pas qui est dessus, donc je ne mettrai jamais mon ordinateur ouvert à ce type de réseau et laisser transiter mes mots de passe sur un wifi inconnu. Je vais démarrer mon ordinateur sur Tails et ma connexion est donc encapsulée dans de nombreuses sécurités. Je peux donc faire transiter mes mots de passe sans que personne ne sache que je suis dans ce café-là et que je me connecte à cet e-mail. »
Kevin Poireault 