Plus personne n’est à l’abri! Qu’on se le dise. Le phénomène des cyberattaques a pris une ampleur telle que plus personne ne peut parier qu’il ne verra un jour ses données personnelles, bancaires ou médicales, jetées en pâture sur la place publique.
Il y avait eu l’an dernier les cyberattaques contre les villes de Morges ou de Montreux. Puis contre des PME, chaînes de magasins, régies immobilières, administrations. Et voilà qu’un nouveau palier a été franchi, la semaine dernière, avec la cyberattaque contre le CICR. Les pirates numériques ont plongé cette fois-ci dans les serveurs de l’organisation pour voler les données de plus de 500’000 personnes vulnérables, séparées de leur famille, dans des situations de crise, disparues ou détenues. Ce que redoutait l’organisation, une des craintes majeures de l’organisations depuis des années, est devenu réalité, au point que l’ancien directeur général de l’organisation, Yves Daccord, parle de «risque réputationnel majeur». Le CICR s’est engagé, sur une base de confiance, à conserver la confidentialité absolue des données qu’il collecte. Même si l’on ne semble pas connaître les auteurs de l’opération, même si l’on ne sait si ces données seront publiées et à quelle fin, il se pourrait bien que les motivations des pirates ne soient pas forcément financières mais politiques. On tremble à l’idée qu’elles ne tombent dans des mains hostiles, d’organisation ou de gouvernement, avec des vues géostratégiques précises. C’est une mine d’or.
Nous sommes tous concernés
Il faut penser de toute une urgence à un cadre légal, des réponses diplomatiques, une nouvelle grammaire de la sécurité, à l’heure du grand banditisme numérique. La Suisse, terre d’accueil des organisations humanitaires, état neutre et dépositaire des grandes conventions internationales, a un rôle central à jouer. Il semble que le ministre de affaires étrangères Ignazio Cassis s’y emploie.
L’attaque contre le CICR est un point de bascule. Elle met en évidence, pour tous ceux qui en doutaient encore, la valeur inestimable des données publiques ou privées. Elle exige des actions sur le plan politique, légal et technologique pour résoudre le problème de stockage et de sécurisation des services numériques.
Concernant les ONG, on évoque un traité international pour un espace humanitaire numérique. Mais les entreprises et les particuliers sont tout autant concernés. Imaginons l’attaque d’une PME travaillant avec des outils connectés. Sa production pourrait être bloquée durant des semaines voire des mois, au risque de la faire disparaître. Imaginons une famille classique, qui possède comme tout un chacun aujourd’hui un pc, téléphone mobile, connexion internet, dont les enfants font du «gaming», les parents du télétravail, des achats en ligne etc. Cette famille est à la merci des pirates.
Une chance pour la Suisse?
Le phénomène des cyberattaques a poussé des sociétés comme ELCA, jusqu’à présent plutôt orientée vers les grosses entreprises, à développer des propositions de sécurisation des données pour PME et collectivités. Un état de lieux et des propositions d’amélioration de la protection que l’on peut considérer comme une sorte de check up de l’outil numérique, à l’heure du banditisme sur le net. Pour les particuliers, ELCA agit désormais en partenariat avec des assurances cyber. Les besoins sont énormes, tant du côté des particuliers que des PME, notaires, médecins ou tous les autres acteurs sociaux.
A tous les niveaux, du particulier aux grandes organisations, il faut une mobilisation massive pour répondre aux cyberattaques. L’enjeu est de transformer la catastrophe en opportunité, pour la Genève internationale, pour la Suisse et pour ses entreprises de la High tech.
Bah, quand on voit l’incapacité chronique de la Confédération, en particulier l’OFIT et le DDPS, de mener à bien le moindre projet informatique (… même le certificat covid a une infra en carton, preuve en est le nombre de pannes, les bugs remontés, etc), on peut décemment douter que les entreprises fassent mieux.
Et pour cause : 0 (zéro) formation aux nouvelles technologies digne de ce nom dans le cycle scolaire; des parents dépassés (parce que pas formés), des profs à la rue (manque de temps, de connaissance, de formation), mais c’est bon, nos chérubins arrivent à employer un tableur excel à force de copié-collés.
Et donc oui : la sécurité n’est pas dans les mœurs, en Suisse. On ne lit pas les conditions d’utilisation, on ne lit pas les petits caractères, on clique sur le premier lien dans un mail nous promettant monts et merveilles, et on ramasse les clefs USB “bêtement” perdues autour du bureau ou sur le parking, pour s’empresser de les glisser dans son ordinateur professionnel, pendant la pause café, pour scruter le contenu.
Autant de pratiques horribles pour la sécurité, impliquant les personnes directement. Mais l’humain n’est pas seule cause des failles, non. Le choix des logiciels, les configurations, les mises à jour sont tout autant importants.
Et ne parlons pas des tests de sécurité eux-même… Quand une entité comme l’OFIT est incapable de faire reconnaître leur CA par mozilla pendant plus de 10 ans, à cause de mauvaises pratiques au niveau de la gestion de la PKI, mais que cette même CA est acceptée “après audits” par Microsoft et Apple, il y a de quoi se poser des questions sur les certifications, et les auditeurs en sécurité. Suffit-il de présenter un gros badge, de payer une grosse somme, pour être validé et certifié ?
Le manque de transparence n’aide pas non plus – aucune contrainte d’annonce des problèmes de sécurité, ou si peu. Quand les CFF laissent en libre accès un million de données client, ça finit par un “aucun problème” – même si des données personnelles, telles que la date de naissance, ont fuité. Date de naissance qui, rappelons-le, sert de “question de sécurité” dans les relations bancaires et médicales – entre autres ! Mais il n’y a aucun problème.
Quand le SRC est capable de paumer un disque dur de données d’enquêtes, ou que Swisscom se fait exfiltrer des données clients par un partenaire tiers localisé en dehors de l’Europe, il n’y a pas non plus de problème – tout au plus une tape sur les doigts, un gros titre dans un journal, et c’est tout.
Le manque de sanctions, le manque de réelles conséquences aux fuites et problèmes de sécurité est une des causes de la situation actuelle : commençons par mettre les entités face à leurs responsabilités, et faisons-leur payer le poids réel de leurs manquements, et on pourra, peut-être, remonter le niveau. Associé à une réelle formation et sensibilisation du peuple, dès le plus jeune âge, on devrait arriver à régler nos problèmes, à court mais aussi à long terme.
N’oublions pas qu’en 2022 (déjà !), les enfants sont sur les smartphones de leurs parents (ou, directement, le leur) dès le plus jeune âge, et ont ainsi accès à des données – certains en abusent, et se paient ainsi des packs sur leur jeu préféré (volontairement ou non, là n’est pas la question).
Parce que oui, ceci est déjà une faille de sécurité, au niveau personnel. ça en dit long sur le niveau global, et le chemin à parcourir pour arriver à un semblant de niveau potable…