Cybersécurité Février 2019

Cybersécurité et cyberguerre, vers une bataille d’Azincourt 2.0

Ils étaient lourds, lents mais nombreux : c’étaient les chevaliers français de la célèbre bataille d’Azincourt de 1415. Leurs armes efficaces au corps-à-corps, clinquantes et imposantes, rendaient également leurs déplacements difficiles sur terrain marécageux.

Face à eux, quelques archers anglais, pas ou peu protégés, criblant de flèches les chevaliers. Inutiles face aux armures à longue distance, mais répandant le chaos à courte distance, ces flèches firent un massacre qui décima en peu de temps la fine fleur de la noblesse française.

Bilan : 6000 morts côté français, une armée dépeuplée de ses chefs, et quelques centaines du côté anglais. Cette lourde défaite est emblématique de l’épisode de la « Guerre de Cent Ans ».

Que nous apprend l’Histoire ? Elle nous apprend souvent les victoires, certes. Mais ce sont bien des défaites que nous tirons les meilleurs enseignements.

Osons un parallélisme entre la bataille d’Azincourt et la cyberguerre qui s’annonce. Nous l’appellerons, en espérant nous tromper, Azincourt 2.0.

Les chevaliers français, brillants et fringants, représentent les entreprises et la beauté digitale de la transformation numérique. Les archers anglais, protéiformes et criblant de flèches les armures, sont les hackers, qu’ils soient grey hats, hacktivistes, gouvernementaux, black hats ou autre, nous ne ferons pas de distinction.

La beauté naïve de la transformation numérique : les chevaliers français

Aujourd’hui, les chevaliers sont remplacés par des entreprises. Les boutiques, par des sites. Les administrations, par d’immenses plateformes. La transition numérique est un levier business important, optimisant tout ce qui se faisait autrefois laborieusement à main d’Homme. Nous en avons fait notre cheval de bataille : tout doit être digitalisé, quoiqu’il en coûte. Toutes les entreprises, de la plus grande à la plus petite : la caisse traditionnelle devient un CRM, même pour vendre du pain dans un village. Et tout est relié au web mondial :

  • On n’envoie plus de courriers, on envoie des emails
  • On se déplace rarement, on fait des visioconférences
  • Plus d’impression, on stocke tout sur son terminal ou dans un serveur commun
  • On ne cherche plus la réponse dans les livres, on la recherche sur Google
  • Plus besoin de maîtriser les langues, on dispose de traducteurs
  • Nous n’allons plus chercher nos clients, nous faisons du Marketing digital
  • Nous n’attendons plus de réponse dans l’incertitude : on sait qui a lu quoi, et quand
  • Etc.

Nous sommes l’armée des chevaliers français de 1415. Nous nous dirigeons fièrement vers une immense victoire sur le travail. L’armée avance, nombreuse, et revêt ses armures étincelantes constituées d’outils intuitifs, efficaces et à bas coût. Les entreprises plongent à corps perdu dans la beauté chevaleresque de la révolution numérique. Elles supputent que les menaces de cybersécurité seront absorbées par d’autres.

Personne ne pense un seul instant que la stratégie militaire est une nouvelle norme côté anglais. Ils sont moins nombreux, certes, mais les flèches des « longbows » sont puissantes et pratiquement illimitées. De plus, la route est longue, boueuse et tortueuse jusqu’à ce que les épées françaises puissent déployer leurs potentiels.

Tirer de tous les côtés, ne pas faire de prisonniers, répandre le chaos : les archers anglais

Il y a de nombreuses flèches, de nombreuses façons d’attaquer informatiquement (Hacker) une personne ou une entreprise :

  • Insérer des chevaux de troie (Trojan) dans des éléments téléchargeables
  • Manipuler un utilisateur lambda au travers du phishing (les faux mails d’hameçonnage)
  • By-passer (dépasser) les pare-feux avec des worms (vers informatiques)
  • Rendre les serveurs ou les sites inutilisables en faisant des milliers ou des millions de fausses requêtes (Ddos ou attaques par déni de service)
  • Infester en interne une entreprise au travers d’objets connectés quelconques (type clef usb « trouvée », grille-pain bluetooth ou gorille qui chante la macarena)
  • Exploiter les failles de conception d’outils créés à la hâte (les failles zero day)
  • Trouver facilement des mots de passe trop peu changés ou trop simples et accéder aux sessions
  • Etc.

Armés de « longbow », les archers anglais sont disposés en hauteur par rapport aux français. Ils les voient venir de loin. Sur le papier, ils ont tout pour échouer : une armée moins nombreuse, moins équipée, et une chevalerie pratiquement inexistante. Les développeurs de l’ombre sont peu nombreux car leur savoir (la cybersécurité) est mal diffusé et difficilement compréhensible par le commun des mortels. C’est leur faiblesse, et leur force.

Car en face, c’est un business cybersécurité défaillant dispensé par de rares écoles : ce business est lucratif, surfacturé, nébuleux. Il est aussi extrêmement onéreux, ce qui implique que la masse de nos PME/TPE ne dispose pas des ressources leur permettant d’effectuer le minimum vital en terme de précaution.

L’Honneur idiot : la stratégie de la défaite d’Azincourt

Les flèches ont commencé à pleuvoir : elles sont tombées sur des sites gouvernementaux, des grosses entreprises. Puis elles se sont mises à toucher des entreprises de taille plus moyenne telles que les hôpitaux, des cabinets ou des plateformes. Elles sont tombées sur les personnes âgées, puis les quinquas, volant leurs Emails et se répandant parmi leurs contacts. Parfois par pure performance technique, parfois pour voler leurs économies, parfois pour déstabiliser les États, ces attaquent mutent et s’orientent vers des cibles de plus en plus petites.

La logique d’autrefois, qui aurait conduit à la victoire d’Azincourt pour les français, aurait été d’attendre que les arbalétriers, plus efficaces que les archers anglais, parviennent à rejoindre les chevaliers embourbés. Cette logique évidente n’a pas été respectée.

Aujourd’hui, le bon sens implique le respect et la diffusion des règles de cybersécurité et la transmission gratuite et obligatoire des savoirs, dont celui de la protection des données personnelles. Nous aimerions vous dire qu’il est suivi. Malheureusement, ce n’est pas vraiment le cas.

La logique d’une guerre efficace n’a pourtant pas changé depuis Sun Tsu : diminuer la surface d’attaque pour pouvoir faire avancer efficacement ses soldats. Augmenter la cybersécurité et maîtriser sa donnée est un excellent moyen d’y parvenir.

Tirez les premiers, Messieurs les hackers

« Qu’à cela ne tienne !», ont considéré les chevaliers d’antan. « L’Honneur est le combat épée au point, et Dieu est avec nous ! ». Aujourd’hui, la transformation numérique est belle et peut donner l’impression de se suffire à elle-même. Mais nous sommes aujourd’hui dans le même bourbier que jadis. Nous avançons péniblement. Ce bourbier est constitué par le grand terme générique « Informatique » :

  • Personne ne le comprend véritablement, sauf de rares élus
  • Pourtant, nous lui confions nos secrets les plus intimes ou les plus stratégiques
  • Et la cybersécurité est absente de la plupart des réflexions.

De l’Audace, encore de l’Audace, toujours de l’Audace

Nous n’attendons pas les arbalétriers du rééquilibrage des savoirs car nous voulons aller plus loin. « Misons tout sur la blockchain ! » alors que l’ordinateur quantique risque de détruire ce bel assemblage de calcul. « Misons tout sur l’Intelligence artificielle ! » alors que le processus d’apprentissage peut être aisément corrompu par un empoisonnement des données ou par une porte dérobée pendant l’entrainement (voir le magnifique fail de l’IA Google). « Misons tout sur les plateformes et limitons le trou de la Sécurité Sociale en faisant de la Santé connectée » alors que les données personnelles et sensibles des citoyens sont largement diffusées et que leurs identités numériques ne sont pas maîtrisées (par eux)…

La cyber-bataille Azincourt 2.0 est-elle perdue ? Pas si sûr

Sommes-nous plus intelligents et stratégiques que les chevaliers de la bataille d’Azincourt ? Tout porte à croire que non, du moins en apparence.

Cependant, à l’inverse de la soumission religieuse liée à la féodalité Moyen-Ageuse, des voix discordantes se font entendre :

  • La CNIL: « Maîtriser les données pouvant relier à un individu est le meilleur moyen de cybersécurité pour les protéger ! » (les données personnelles).
  • La Quadrature du Net : « protégez l’idéal d’Internet et son pouvoir d’émancipation des personnes ! »
  • Cybermalveillance.gouv : « l’État doit apprendre aux citoyens et aux entreprises la cybersécurité gratuitement ! »
  • L’AFCDP : « Offrons à tous les pistes de réflexion pour y parvenir ! »
  •  Have I been pwned : « Apprenons aux citoyens que tous sont concernés par la cybermalveillance ! »
  • L’appel de Paris : « Appelons le Monde à plus de sagesse et de confiance ! »
  • Observantiae (ça, c’est nous) : « Mettons nous au niveau pour rester rentables tout en aidant le plus de monde, et diffusons a minima les connaissances à notre niveau ! »
  • Etc.

La liste est longue, et les bonnes volontés nombreuses. Seront-elles audibles face au pouvoir politique et financier de celles et ceux qui vendent la transformation numérique tout en préparant les futures ventes de solutions pour s’en protéger ? Seront-elles suffisantes face à des hackers de plus en plus structurés, instrumentalisés et inventifs?

Internet y survivra-t-il ?

C’est au pouvoir politique de trancher, de s’investir et d’y réfléchir intelligemment. Ralentir et aider les arbalétriers à vaincre l’ennemi? Ou s’entêter dans la fuite en avant en comptant sur la chance ?

Pierre LOIR

Fondateur d’Observantiae

Logo Observantiae Azincourt 2.0