La Cybersécurité – que faire de ce grand oublié du débat public ?


Publié le 25 septembre 2017

Le sujet de la cyber-sécurité ne s’invite que rarement dans l’agenda politique, sauf en période de campagne électorale quand on découvre qu’un candidat n’a pas pris ce sujet au sérieux et qu’il est déjà trop tard. Au-delà des déclarations de principe et des rapports, quelles seraient les solutions pour améliorer la cyber-securité dans notre pays ? Il ne sera pas ici question de la seule sécurité de nos administrations publiques, mais également de celle de nos entreprise et de nos citoyens.

Protection des citoyens : manifeste pour un antivirus public et obligatoire

Autant l’annoncer d’emblée, il y a un parti pris dans cet article : la cyber-sécurité des citoyens est une mission de service public, au même titre que la sécurité du monde « réel » en temps que mission régalienne de l’État. Pour mener à bien cette mission, la puissance publique a plusieurs outils à sa disposition ; une bonne campagne de pub contre les malwares sensibiliserait un public assez large, mais le plus efficace reste quand même l’outil juridique. La loi pourrait ainsi contraindre les utilisateurs d’Internet à se munir d’un antivirus.

Pas convaincu par l’antivirus obligatoire ? Cette mesure vous paraît trop contraignante, trop intrusive ? Dans ce cas lançons-nous dans une comparaison avec le monde réel. Prêts pour un petit (re)tour en cours de droit ?

Imaginez un quartier constitué de plusieurs barres d’immeubles. Un jour une de ces barres prend feu, embrase tout le quartier, et aucun logement n’est épargné dans l’incendie. On s’aperçoit rapidement que le feu provenait de l’appartement de M. Bob. Il a laissé les flammes se propager chez lui : il a donc commis ce que l’on appelle en droit français une négligence coupable, car s’il avait fait un minimum attention il n’aurait pas laissé le feu se propager jusqu’à détruire son logement puis celui des autres. C’est suffisant pour engager la responsabilité de M. Bob. En plus de ça celui-ci n’avait pas souscrit à une assurance habitation c’est lui qui paiera toutes les réparations.

Pourquoi tant de haine me direz-vous ? Parce que le principe général en droit français c’est que chacun est responsable de ce qui arrive chez lui, donc si Bob a laissé le feu se propager dans sa maison jusqu’à embraser les bicoques voisines il est normal qu’on lui demande de rendre des comptes.

Maintenant remplacez les appartements par des ordinateurs et le feu par les malwares… Imaginez un seul instant que l’on applique à ceux qui propagent sciemment ou non les logiciels malveillants sur le réseau les mêmes sanctions que ceux qui laissent le feu se propager dans les zones résidentielles !! Impensable ? Et pourtant si nous ne tolérons pas chez les gens pareille négligence dans le monde réel, pourquoi acceptons-nous que dans notre société nous ne soyons pas tous protégés un minimum quand nous utilisons un ordinateur ?

Du point de vue de la loi française, un citoyen n’est pas obligé de se protéger sur Internet. Juridiquement, un particulier lorsqu’il surfe sur Internet ou qu’il consulte ses mails n’a aucune obligation d’installer un antivirus sur sa machine. La seule restriction à ce principe concerne les connexions aux réseaux privés – Intranet – au sein d’une entreprise d’une école ou d’une ONG par exemple. Ici l’organisation en charge de ce réseau peut si elle le souhaite imposer un règlement interne qui obligerait à toute personne souhaitant se connecter d’installer un antivirus.

Pourquoi est-ce si important que tout le monde se protège ? Parce qu’un malware se propage exactement comme un feu : par les maisons les plus vulnérables. Si la loi dit que tous les logements doivent posséder un détecteur de fumée, qu’aucun bâtiment ouvert au public ne peut ouvrir sans que les pompiers ne donnent leur accord, pourquoi n’est-ce pas rigoureusement la même chose sur internet espace public s’il en est ?!? Pourquoi n’imposerait-on pas que toute machine en capacité se connecter à Internet soit équipée d’un anti-malware ? Pourquoi ne pas exiger d’un navigateur qu’il respecte certaines normes ? En obligeant les particuliers à s’équiper d’antivirus on réduit les failles individuelles et on renforce la sécurité collective. Légiférer en faveur d’un antivirus obligatoire c’est éviter la propagation des malwares.

Protéger nos entreprises : mettons-les aux normes !

Selon une étude de 2013, l’espionnage industriel coûterait chaque année 46 milliards d’euros aux entreprises françaises. « Les hackers mettent moins d’une journée à pénétrer le réseau d’une société. Mais il faut en moyenne 200 jours pour que les entreprises le détectent. Donc vous voyez bien que le hacker a du temps devant lui avant d’être repéré. Et comme il est malin, il ne vous détruit pas les données, il les copie » selon Alain Bouillé qui dirige le CESIN, une association se décrivant elle-même comme un « club des experts de la sécurité informatique », et bénéficiant d’une certaine notoriété dans le domaine de la cyber-sécurité en France.

Si des campagnes de préventions ont été lancées par l’organisme publics en charge de la sécurité informatique en France (baptisée l’ANSSI), plus de moyens devraient être mis en œuvre pour sensibiliser les entreprises et notamment les PME qui n’ont souvent pas de budget conséquent à allouer à leur cyber-sécurité.

Là encore une campagne de prévention réglerait bien des problèmes… Et en ce qui concerne l’outil juridique l’État serait bien avisé de faire une entorse à sa politique de réduction du nombre de normes et d’en rajouter une poignée dans le domaine la sécurité informatique. On pourrait même organiser des contrôles de la part de l’ANSSI (de la même manière que l’URSAAF organise des contrôles) auprès des entreprises pour vérifier si une entreprise respecte les normes de sécurité informatique.

Partis politiques et campagnes : faire preuve de volontarisme.

On a bien vu en 2017 ce qu’une poignée de hackeurs peuvent provoquer en se lançant dans une «  » »cyber-attaque » » » du parti démocrate ! Si le coût astronomique de l’espionnage industriel en France – mentionné plus haut – ne vous a pas convaincu de l’importance de la sécurité informatique, peut être que les conséquences de l’affaire des e-mails d’Hillary sur la campagne démocrate seront plus explicites !

Il est d’ailleurs bon de rappeler comment s’est déroulé le piratage des fameux e-mails de la candidate à la Maison Blanche.
Tout commence lorsque John Podesta – directeur de campagne d’Hillary – reçoit sur son adresse Gmail une missive de Google lui demandant de changer son mot de passe. Podesta fait alors suivre ce mail au responsable informatique pour lui demander si le courrier est authentique ou non. Ce dernier selon son témoignage a fait une simple faute de frappe en rédigeant la réponse – voulant écrire It is illegitimate (traduisez c’est un faux) il envoie la réponse It is legitimate (c’est authentique). Confiant, le directeur de campagne clique sur le lien du mail et renseigne son ancien mot de passe…
Vous avez bien compris… l’affaire qui a le plus plombé la campagne d’Hillary Clinton se résume à un phising tout ce qu’il y a de plus bête. Pour ce qui est de commenter cette affaire, nous pouvons nous accorder sur deux choses :
1) Il n’est a priori pas normal qu’un fournisseur de mail vous demande de son propre chef de changer votre mot de passe. Aucun prestataire sérieux ne vous demandera jamais de faire cela.
2) GMail n’est pas réputé pour être le webmail le plus sécurisé de la planète il est assez étonnant que l’équipe d’Hillary Clinton ait choisit de l’utiliser pour la campagne de 2016.

L’affaire des e-mails d’Hillary Clinton illustre un certain laxisme de la part des politiques quand il s’agit de cybersécurité lors des campagnes. Antoine Champagne, journaliste, et Olivier Laurelli, hackeur et lanceur d’alerte notoire concernant la cyber-sécurité, avaient ainsi alerté l’opinion publique quant aux failles de sécurité béantes concernant les sites Internet de François Fillon et d’Emmanuel Macron.

Il est temps pour les candidats et les partis politiques de se rendre compte que de telles failles de sécurité peuvent avoir une incidence très lourde sur le résultat des élections et par conséquent sur l’orientation de la politique du pays. Le gouvernement semble d’ailleurs aller dans ce sens. Le secrétariat général de la défense et de la sécurité nationale avait ainsi convoqué en septembre dernier l’ensemble des responsables informatiques des partis politiques et des instituts de sondages pour faire un point sur la cybersécurité.

Administrations publiques : passons au logiciels libres.

Les institutions publiques ont également des efforts à faire en matière de cybersécurité. En 2013, un groupe de hackeurs / lanceurs d’alertes avait fait savoir qu’il avait pu accéder sans peine aux e-mails de plusieurs euro-députés ainsi que ceux de leurs assistants parlementaires. La cyber-sécurité est en effet loin d’être optimale dans plusieurs de nos institutions, y compris celles qui devrait êtres les plus sures.

Vous conviendrez par exemple que les systèmes d’information du ministère de la défense sont amenés à traiter quantité de documents et données sensibles, stratégiques et strictement confidentiels. Il ne serait donc pas normal selon toute bonne logique qu’un ministère comme celui-ci ait un équipement informatique fonctionnant avec un système d’exploitation propriétaire conçu par une entreprise étrangère qui de surcroît a la réputation d’être approximative dans la maintenance de ses produits… C’est pourtant avec Microsoft que l’Hôtel de Brienne a conclu, il y a des années déjà, un accord visant à équiper les quelques 200 000 ordinateurs de l’armée française avec ses logiciels. L’accord a été conclut en 2008 par Hervé Morin ministre de la défense de l’époque et renouvelé en 2013 par Jean-Yves le Drian, puis par Florence Parly actuelle ministre des Armées (saluons également Alain Juppé qui n’a rien trouvé à redire au contrat quand il était lui-même ministre de la défense !).

Au-delà de cet exemple particulièrement choquant (osons le dire) il convient de souligner que l’armée est loin d’être la seule institution publique à faire appel aux services de Microsoft. De nombreux ministères mais également conseils régionaux municipaux ont passé des contrats avec la firme fondée par Bill Gates. Et au-delà des enjeux d’espionnage (est-il besoin de rappeler l’implication de ladite firme dans le scandale PRISM ?), est-il avisé en cette période où l’on coupe dans les dépenses d’à peu près tous les budgets de contracter pour plusieurs millions d’euros avec des sociétés étrangères quand on peut utiliser des systèmes d’exploitations et des logiciels libres ?

Linux dans les administrations publiques, ça n’est pas qu’une utopie. Ça existe dans un bon nombre d’endroits partout dans le monde. En Chine par exemple les ordinateurs des institutions de l’Empire du Milieu fonctionnent depuis des années avec des distributions chinoises de Linux (le plus célèbre se nomme Kylin, développé pour les serveurs de l’armée chinoise). Pékin a en effet interdit en mai 2014 l’utilisation de Windows dans l’ensemble des administrations publiques. Il est à noter que les USA de leur côté surveillent également de près les ordinateurs utilisés dans leurs administrations (au niveau matériel chaque composant d’un ordinateur doit être à 100 % fabriqué aux États-Unis).

Aperçu du Bureau GendBuntu, l’OS de la Gendarmerie Nationale

Conclusion

Il devient aujourd’hui indispensable que nous prenions la mesure de l’enjeu en ce qui concerne la cybersécurité. L’outil informatique est une arme, politique et économique, qui coûte selon certains économistes plusieurs points de PIB à notre pays. C’est donc la société dans son ensemble qui doit réagir, et nous devons garder en tête qu’adopter un comportement vigilant à ce sujet est largement à notre portée.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.