Mega-failles informatiques chez les géants du web

Alors que selon la direction de Yahoo!, certains de ses employés étaient au courant dès 2014 de l’énorme faille de sécurité de l’entreprise américaine révélée ces derniers mois, le rôle et les possibilités d’actions de l’Etat dans la protection des données des utilisateurs restent encore largement à définir aujourd’hui.

 

Atlantico : Ces dernières semaines, le monde prenait conscience d’une gigantesque faille de sécurité au sein de l’entreprise Yahoo!, concernant les données de près de 500 millions d’utilisateurs. Or, il semblerait que certains employés (au moins) de Yahoo! étaient au courant de cette brèche dès 2014. Pour ce qui est du cas français, et notamment des entreprises qui fournissent des services aux Français (Facebook, Google, etc.), quel état des lieux peut-on faire de leur sécurité ? Sommes-nous vraiment protégés ?

Fabrice Epelboin : Pour ce qui est de la sécurité des données personnelles des français, qui pour la plupart les confient à des entreprises américaines comme les GAFA, il faut distinguer deux types de menaces : les Etats, et les cybercriminels.

 

Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés. D’autres Etats peuvent pirater une entreprise américaine pour accéder aux données des Français, et plus vraisemblement de leurs ressortissants ou de personnes ciblées précisément, les “usual suspects” dans ce genre de cas sont la Chine, l’Iran et la Russie, car la plupart des autres Etats, comme la France – capables de telles attaques informatiques – sont dans une alliance plus ou moins étroite avec les Etats Unis, qui leur permettrait d’accéder à ces données en le demandant gentiment.

 

Pour ce qui est des cybercriminels, c’est aussi un risque, mais même les cybermafias les plus aguerries n’ont pas la capacité des Etats précités, et la sécurité de la plupart des “grands” de la Silicon Valley est tout de même de haut niveau. Peu de chance qu’une cybermafia dérobe les données des utilisateurs de Google.

 

La sécurité informatique ne s’arrête bien sûr pas là, car en dehors de ce que font Yahoo ou Google pour vous sécuriser, il y a tout un tas d’éléments à prendre en compte et de réflexes à acquérir afin d’adopter une démarche sécure sur internet, tout comme c’est le cas avant de pouvoir conduire une voiture de façon sécurisée. Cela demande un apprentissage, c’est sanctionné par un examen : tout cela reste à faire avec internet.

Si d’ici à cinq ans ont pouvait mettre en place un tel “permis de conduire sur internet” – quelque chose qu’il faudrait repasser régulièrement car la technologie évolue sans cesse – on ferait de grands progrès en matière de cybersécurité pour les français. Ca ne me choquerait pas du tout qu’une entreprise exige un tel permis avant de laisser ses employés utiliser internet au bureau, et l’Etat pourrait parfaitement fournir un mooc gratuit et le personnel enseignant qui va avec, ce qui permettrait de former en masse les français au B-A BA de la cybersécurité.

Franck Decloquement : À l’image de cette valeur fondatrice dans le domaine de l’économie, le sujet de la cybersécurité est indissociablement lié au principe de « confiance ». Les donneurs d’alertes peuvent dans certains cas jouer un rôle majeur dans la détection précoce des failles technologiques, ou humaines. Dans « l’affaire Yahoo », il semble bien que des employés de la firme avaient eu connaissance de cette brèche. Et cela dès 2014. Dans un rapport de la SEC déposé mercredi dernier, Yahoo a déclaré en substance que la société avait identifié qu’un acteur – vraisemblablement « parrainé » par un État – a eu accès au réseau de la société à la fin de 2014, compte tenu de la nature assez sophistiquée de l’attaque. Pourtant, il apparaît difficile pour l’heure de savoir qui était réellement au courant de cette violation initiale en interne, lorsque Yahoo a découvert l’étendue du hack cet été. Mais le rapport de la SEC a également indiqué que la réponse à ces deux questions était actuellement à l’étude…

Les investissements technologiques et la puissance financière ne peuvent pas tout en matière de protection technologique. La formation des hommes et des femmes au contact – et plus globalement la culture interne des entreprises – jouent un rôle majeur dans la sécurité des systèmes d’information, car une très grande majorité des failles cyber reposent en définitive sur les vulnérabilités humaines. Cette question de « la confiance » est centrale et pourrait-être aussi  étendue à l’ensemble de l’écosystème de l’internet lui-même.

En France désormais, toutes les entreprises sont tenues d’appliquer un « minimum légal » en matière de cybersécurité. Et ceci, en déclarant par exemple sans délai, l’ampleur des attaques dont elles font l’objet à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), au risque de commettre ; dans le cas contraire ; une très grave faute de gestion… Le monde de l’assurance est également en ébullition sur ces sujets complexes et se mobilise aussi pour savoir en définitive qu’exiger en la matière, comment et qui devra payer « les pots cassés », en cas de négligence  informatique majeure. Avec la digitalisation massive des services en ligne, la sécurisation des données est primordiale pour le développement de toute activité commerciale. Quand vous êtes une mutuelle, une assurance ou un opérateur bancaire, et que vous avez subi des attaques informatiques récurrentes, le fait de le crier sur tous les toits va forcément vous faire passer pour un établissement vulnérable en matière de sécurité, et très peu fiable aux yeux de ses clients. Ceci pouvant déstabiliser durablement votre business digital dans son ensemble. Le récent scandale de l’affaire Ashley Madison que nous avions traité ici même, dans les colonnes d’Atlantico (où un groupe de hackers avait piraté les serveurs informatiques de la société et dévoilé au grand jour les noms de tous les utilisateurs du site « de rencontres en ligne) est un exemple type. A cet effet, il reste encore dans toutes les mémoires… Cet évènement s’inscrit malheureusement, dans cette très longue liste d’actions cybercriminelles (TV5 Monde, arnaques au faux Présidents, le vol des données des agences fédérales américaines, le piratage des données personnelles des consommateurs de l’entreprise Hello Kitty, ou encore les intrusions répétées par des hackers se revendiquant de l’Etat islamique (EI), sur les sites de certaines institutions françaises, etc…), qui mettent en exergue la vulnérabilité manifeste des systèmes d’information dans leur composante humaine.

Dans le cas de l’attaque historique qu’a subit Yahoo, de nouvelles révélations se font jour très régulièrement dans les médias. Ce que révèlent aussi certaines investigations menées en profondeur dans les arcanes du « Darknet », ce lieu privilégié d’échanges frauduleux entre pirates de haut vol et criminels informatiques de tous poils. Dans un avenir très proche, certaines compétences spécifiques seront indispensables quant à la maîtrise de la gouvernance de la sécurité en entreprise. C’est-à-dire de la connaissance des processus de réponses aux incidents cybers. Il s’agira d’être en capacité d’instaurer les méthodes normées de gestions fines, au profit de la sécurité globale dans l’entreprise. Cela ayant en outre pour finalité immédiate de contrecarrer efficacement les failles humaines, cette composante prioritairement exploitée par les hackers dans la mise en œuvre de leurs actions délictueuses. Avec l’émergence des solutions d’authentification par biométrie et cryptogramme dynamique, l’expert en cybersécurité devra également maitriser en continue les évolutions de la règlementation et des normes – mais aussi l’émergence des nouvelles technologies – en se formant non-stop. Cela ayant aussi pour objectif final recherché de lever l’un des freins majeurs en matière de croissance de l’e-commerce, car l’usurpation d’identité et la fraude sous toutes ses formes, insécurise indéniablement le développement du volume des transactions numériques à l’échelle globale. La confiance générale des internautes pouvant être très vite échaudée, compte tenu de la déferlante des affaires de piratages dans les médias.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *