13 défis de la cy­ber­sé­cu­ri­té

Ici comme ailleurs, les attaquants ont exploité une faille. Et c’est justement l’existence d’une faille qui autorise une attaque. Certaines vulnérabilités sont historiques ou génériques. « Internet n’a pas été conçu avec la nécessité d’identifier un individu sur de multiples services », rappelle ainsi Christophe Rosenberger (GREYC, Caen). Mais toutes renvoient à un bug, c’est-à-dire une erreur de conception qui permet une intrusion.

WannaCry comme son homologue NoPetya ont exploité la vulnérabilité Ethernal Blue, liée au partage de fichiers et d’imprimantes de Microsoft (SMB : server message block). « Une vulnérabilité est une voie d’entrée qui est due à des données incorrectement gérées par un programme et qui d’une manière ou d’une autre les considérera comme des instructions à exécuter » (p. 112). L’attaquant injecte par exemple une instruction dans une URL ou, de manière plus sophistiquée, il envoie un code malicieux d’une longueur telle qu’il écrira dans la partie exécutable de la mémoire. Cette attaque « par débordement de mémoire » peut fonctionner dans l’autre sens : l’attaquant demandant une information très longue, il récupère des mots de passe dans un protocole cryptographique, typiquement TLS (transport layer security) utilisé sur le Web.

Le progrès dans la recherche pure ou appliquée suscite donc une « course infernale entre bons et méchants (p. 17), comme l’illustrent le procédé « anti-copie » des DVD (cassé) ou les clés de chiffrement à 128 bits (obsolètes). Les nouveaux services numériques véhiculent par ailleurs de nouvelles problématiques. À l’image de Strava, une application mobile destinée aux sportifs, pour suivre et partager leurs performances. Les informations sont anonymes, mais en 2018, comme les militaires français et américains faisaient eux aussi du jogging, la géolocalisation des parcours a permis de repérer leurs bases secrètes en Syrie et en Afghanistan. Cet exemple montre que la sécurité renvoie au comportement de l’utilisateur (qui ne procède pas toujours aux mises à jour nécessaires…). Elle a donc un aspect social.

Les attaques informatiques se présentent sous des formes diversifiées ; elles se déploient à des échelles différentes, avec des objectifs variés. D’où la nécessité de les prévenir. La sécurité doit porter sur chacun des maillons de la chaîne informatique et elle doit être intégrée en amont.

Si une application parfaite est difficile à concevoir, « de nombreuses solutions logicielles sont développées sans prendre en compte la problématique de la sécurité, déplorent les auteurs. Ce qui est réalisé dépasse souvent l’imaginable. On peut ainsi trouver des produits vendus à plusieurs centaines de millions d’exemplaires, qui sont vulnérables à des attaques connues par la communauté scientifique depuis plus de quinze ans » (p. 11).

Au-delà des chapitres, techniques, qui leur sont explicitement consacrés, la cryptographie et la cryptanalyse ou « étude de la sécurité des primitives cryptographiques », apparaissent comme un fondement de la protection informatique. Le cryptage et le décryptage des données constituent en effet l’ossature sécuritaire de nombreux services et protocoles : échanges avec le cloud, télévision à péage, etc. Le chiffrement intervient également dans le fonctionnement du Bitcoin. C’est même une des caractéristiques de cette monnaie qui se passe d’autorité de confiance, et permet des transactions anonymes, bien que publiques.

La sécurité peut et doit aussi s’appréhender du côté de l’attaquant. Pour Jean-Yves Marion, les motivations de l’agresseur renvoient à quatre objectifs : extorquer de l’argent, extraire des données sensibles (comme des mots de passe), gagner quelque chose (une e-réputation ou des bitcoins), manipuler ou détruire des données.

Ces délits potentiels suscitent des réponses adaptées, en lien avec les trois principes fondamentaux de la sécurité informatique, que réunit l’acronyme CIA : la confidentialité (une information n’est accessible qu’à ceux qui sont autorisés), l’intégrité (une donnée ou un système n’est modifiable que par ceux qui en ont la permission) et l’accessibilité (qui veut qu’un serveur ne soit pas bloqué). Mais une attaque est liée à un écosystème. Les black hats disposent de plateformes d’exploit qui identifient des vulnérabilités, permettant ainsi de les exploiter. « Il y a une sorte d’économie dans laquelle les systèmes numériques compromis sont loués à de nouveaux acteurs pour d’autres activités » (p. 115). À l’image du botnet bancaire Dridex.

L’analyse forensique montre que nos activités numériques laissent de multiples traces, que les enquêteurs utilisent pour confondre les criminels : qu’il s’agisse d’exploiter un téléphone ou le calculateur d’un véhicule.

Nos données personnelles sont en effet captées et exploitées. Considérées comme « le pétrole du XXIe siècle » dès lors qu’elles sont mutualisées, elles font l’objet de trois marchés. Le marché primaire, celui de la collecte, se présente comme une transaction avec contrepartie, alors que les marchés secondaires et tertiaires sont typiquement commerciaux. Ils concernent les courtiers de données (data brokers) qui agrègent les données pour construire des profils à la demande, et leurs clients qui les utilisent pour des campagnes de marketing ou pour prédire des comportements politiques. Les grandes plateformes regroupent tous les segments, ce qui accentue le déséquilibre entre les individus et les collecteurs/exploitants, grands bénéficiaires du dispositif.

Pour Daniel Le Métayer, « l’effectivité du RGPD est subordonnée à l’existence d’outils techniques permettant de mettre en œuvre un certain nombre de dispositions ». Or l’analyse d’impact relative à la protection des données (APID) que doit mener le responsable du traitement fait l’objet de peu de recherches, alors qu’elle définit les risques d’atteinte à la vie privée. Faut-il évaluer la vraisemblance des facteurs de risque sous forme d’arbres de menaces ?

L’application du RGPD soulève d’autres questions : comment retirer son consentement, par exemple ? Si des outils ont été mis au point (démarche de privacy by design, guides du European Data Protection Board, etc.), il est impératif que la recherche se poursuive, et que les autorités en charge de la protection soient renforcées. Sinon, le RGPD ne sera qu’un tigre de papier.

Au cours des dernières années, la recherche a conduit à développer des outils efficaces pour se prémunir des attaques informatiques, à l’image de https, de CryptoVerif, des outils biométriques ou du logiciel Metasploit (https://www.mestasploit.com). Dans ces avancées, les modèles théoriques, en particulier mathématiques (outils euclidiens, polynômes multivariés…) , jouent un rôle croissant Aujourd’hui, deux domaines de recherche s’annoncent particulièrement prometteurs : la cryptographie, « vitale pour pour garantir la sécurité de notre société du numérique » (p. 145) et les blockchains, porteuses d’une technologie de rupture. « Arriver à se passer d’une autorité centrale pour assurer sa sécurité est un changement de paradigme qui offre de nombreuses perspectives », soulignent les auteurs (p. 224).

Comme l’indique son avant-propos, cet ouvrage s’adresse à un public de chercheurs et d’ingénieurs. Les formules mathématiques (non retenues ici) en témoignent. Rien n’indique cependant qu’un spécialiste de l’identification sur le Web soit familier avec les ordinateurs post-quantiques et la taxonomie de Seda Gürses. Malgré le souci pédagogique des auteurs, les prérequis sont donc les bienvenus. Mais c’est le prix à payer pour ce genre d’exercice, qui tranche avec les nombreux titres qui abordent la sécurité informatique en termes très généraux, c’est-à-dire sans réelle consistance pour des praticiens.

Ouvrage recensé – Gildas Avoine et Marc-Olivier Killijian (dir.), 13 défis de la cybersécurité, Paris, CNRS éditions, 2020.