Le mot confiance est dérivé du vieux français « fiance », c’est-à-dire « foi ».
D’après le dictionnaire, la confiance est le fait de croire, d’avoir foi en quelque chose. L’assurance qui en découle peut-être un sentiment de sécurité ainsi que la possibilité de se fier à une entité.
Lorsque que nous réalisons des activités en ligne, sommes-nous en confiance, en sécurité et en mesure de développer un sentiment d’innocuité ?
Pour apporter des éléments de réponse à cette question, qui en fonction de l’expérience de chacun peut avoir diverses résonnances, revisitons quelques constats.
Vols massifs de données
Depuis le début de ce siècle, les fuites et les vols massifs de données sont devenus habituels et n’ont fait que s’amplifier à partir des années 2010. Ce sont plusieurs dizaines et centaines de millions de comptes utilisateurs qui sont régulièrement siphonnés des serveurs des fournisseurs de services. Tous sont concernés, y compris les plus grands et ceux qui font le numérique (Sony PlayStation, JP Morgan, RSA Security, Dropbox, Adobe, eBay, Yahoo, mySpace, LinkedIn, Uber, Facebook, Equifax, Marriot, Tinder, British Airways, Easy Jet, SITA, Verisign, etc.[1]). Ainsi par exemple, les informations relatives à 533 millions de comptes Facebook incluant entre autres identifiants Facebook, numéros de téléphone, noms, adresses, date de naissance, biographies se trouvent, depuis 2019, à disposition de la cybercriminalité à des fins d’usurpation d’identité, d’ingénierie sociale et de fraudes[2]. Chaque année, le nombre cumulé des fuites de données s’exprime en plusieurs milliards de comptes utilisateurs.
Espionnage structurel omniprésent et marché de la surveillance
En 2013, Edward Snowden[3] révélait au monde l’ampleur des écoutes et de la surveillance des télécommunications et de l’Internet par les agences de renseignement nord-américaines. En parallèle se développait la surveillance, basée sur la collecte massive des données et leur exploitation sans limite. Cette dernière est devenue le moteur de l’économie numérique, mais aussi du développement des pratiques numériques, de l’intelligence artificielle, ou encore du déploiement de la 5G.
La dématérialisation des services, la géolocalisation, les services personnalisés, la connectivité permanente, les capteurs de données, les drones, les objets connectés, les caméras de vidéosurveillance, l’usage des réseaux sociaux et des plateformes numériques, génèrent des flux et des traces numériques. Ces derniers constituent un gisement informationnel exploitable tant par des entités publiques que privées, tant par des acteurs licites qu’illicites[4].
La donnée est un bien tangible commercialisable, source de valeur à qui sait la collecter, la stoker, la transformer, la transmettre, la maitriser. Le commerce des données, y compris des données personnelles et de l’identité numérique, est au cœur du capitalisme numérique néolibéral[5]. Il est indispensable à la croissance numérique, à l’économie de l’attention et à celle concomitante de la surveillance[6]. Ainsi, toutes restriction, protection, limitation d’usage des données, constituent un frein au développement de l’économie numérique.
Dès lors peut-on encore s’étonner que le capital informationnel des individus et des organisations publiques et privées puisse être convoité par des acteurs de l’économie licites et de l’économie souterraine ?
Vulnérable et piratable par conception
Force est de constater que des produits insuffisamment robustes et sécurisés sont utilisés comme l’a démontré, pour ne donner qu’un seul exemple, les vulnérabilités d’un des systèmes de messagerie électronique les plus utilisés de par le monde (Microsoft Exchange) révélé en mars 2021[7]. Même si des rustines de sécurité ont également été publiées, le délai écoulé entre les découvertes des vulnérabilités, le développement des mesures d’atténuation, l’installation des « rustines » de sécurité et la mise à jour de tous les systèmes concernés, offre aux cyberattaquants, une fenêtre d’exploitation des failles suffisamment longue pour être mise à profit. Cela permet d’exfiltrer des données, de détourner les capacités de traitement, de pénétrer des systèmes d’information et d’y progresser ou encore d’installer des programmes malveillants et avoir le contrôle distant des environnements infectés.
Par ailleurs, la vulnérabilité conceptuelle du cœur de tous les équipements électroniques, que sont les processeurs, est connue depuis 2018[8]. Il s’agit des failles de sécurité dénommée « Spectre » et « Meltdown », qui depuis 1995 concernent les processeurs Intel, AMD et ARM et qui, si elles sont exploitées, permettent des accès aux données et rendent vulnérables les systèmes d’exploitation exécutés par ces processeurs (Windows, MacOS, iOS, Android, etc.). Depuis, de nouvelles vulnérabilités liées à l’architecture des microprocesseurs, sont régulièrement annoncées pouvant provoquer par exemple des dénis de service à distance, permettant exflitrer des données confidentielles ou encore faire de l’élévation de privilèges pour s’introduire et naviguer dans des systèmes d’information[9] ou encore permettant d’injecter du code à distance[10] .
A cette problématique de défaut de conception des processeurs s’ajoute celle des portes-dérobées (backdoors) expressément conçues et intégrées dans les matériels et logiciels par les fournisseurs, pour en prendre le contrôle à l’insu des propriétaires légitimes[11].
Enfin, nul ne peut plus ignorer que les solutions de sécurité peuvent posséder également des failles de sécurité (failles Poodle ou Heartbled[12] par exemples des solutions qui permettent de réaliser des mécanismes de chiffrement et de mettre en oeuvre des fonctions de sécurité).Lorsqu’il est difficile d’être sûre de la sécurité de la sécurité, alors un faux sentiment de sécurité se substitue à celui de confiance dans la sécurité.
Ces quatre cas emblématiques, illustrent qu’il est difficile de croire avec assurance dans la qualité, la fiabilité, la sûreté et la sécurité des environnements informatiques. De facto, « par conception », il est difficile d’avoir naturellement confiance dans les infrastructures numériques mises à disposition des usagers.
Chaines d’approvisionnement logiciels compromises et programmes malveillants
Les logiciels ont aussi leurs chaines d’approvisionnement et celles-ci peuvent être utilisées pour réaliser des cyber-attaques. Jusqu’à présent les utilisateurs faisaient confiance à leurs fournisseurs, les autorisant pour certains à installer automatiquement les nouvelles mises à jour, ce qui parfois peut entrainer l’installation de programmes malveillants.
Ainsi par exemple en 2019 l’opération ShadowHammer[13] était rendue publique. Le détournement du logiciel ASUS Live Update Utility d’installation des mises à jour logicielles du constructeur Taiwanais de matériel informatique ASUS a permis d’infecter plusieurs dizaines de milliers d’ordinateurs de par le monde et d’installer des Chevaux de Troie, véritable porte dérobée permettant la prise de contrôle à distance des systèmes et l’injection de codes malveillants.
La majorité des plateformes logicielles font l’objet de détournement et de compromission de leur relations privilégiée avec leurs clients pour abuser les protections en place (notamment les antivirus) et faire installer des points d’entrée dans les systèmes qui permettent l’installation de programmes malveillants à la place ou en même temps que des mises à jour légitimes (exemple opération Kingslayer[14] qui ouvre les portes des systèmes infectés). Ce mécanisme d’attaque contre les chaines d’approvisionnement logiciels qui exploite le vecteur des mises à jour légitimes a été utilisée contre la firme SolarWinds et ces clients dont notamment de nombreuses agences gouvernementales d’Amérique du Nord (Département d’État, de la sécurité intérieure, de l’énergie, du Trésor…) ou encore l’entreprise américaine de sécurité FyreEye par exemple[15]. Le logiciel CCleaner (censé optimiser les performances d’un ordinateur sous Windows ou Mac OS, libérer de l’espace mémoire, d’effacer des traces de navigation web, …) a aussi été affecté par ce type d’attaque en 2017, touchant plusieurs millions de systèmes et d’utilisateurs[16].
Les mises à jour logicielles signées par des certificats volés ou falsifiés pour leurrer systèmes et personnes permet d’installer des logiciels malveillants dans des systèmes cibles qui ensuite les propagent. Cela conduit à de l’espionnage, des vols de données (exfiltration de données) ou encore au chiffrement des données et le cryptoblocage des systèmes à des fins de chantage et de demande de rançons[17]. Cela permet également de réaliser attaques en déni de services.
Ainsi l’acte recommandé pour des raisons de sécurité, de mettre à jour ses systèmes, devient de manière perverse et insoupçonnable un vecteur d’intrusion très efficace d’installation et de distribution de virus informatiques.
IL s’agit d’une ultime rupture de confiance, puisque le modèle économique de la sécurité est basé sur la distribution de rustines de sécurité à installer régulièrement.
De manière plus classique et depuis plus d’une vingtaine d’années ce sont des pièces jointes et des fichiers bureautiques compromis (Word, Powerpoint, Adobe, Excell, …) transmis par des messages électroniques, qui peuvent participer à la diffusion et à l’installation de virus. Le virus I Love you[18] en mai 2000 est à ce titre, un cas d’école. Le programme malveillant BlackEnergy[19], véritable Cheval de Troie qui existe depuis 2007 et dont la version 3 qui circule depuis 2014 a permis notamment de cyberattaquer des infrastructures industrielles en Ukraine en 2015 en ciblant, entre autres, son infrastructure d’approvisionnement en électricité et en rendant les systèmes inopérables[20].
Les applications mobiles ne sont pas épargnées et des attaques diffusant des logiciels malveillants sur des téléphones intelligents peuvent se réaliser via Google Play Store ou l’App Store d’Apple par exemples[21]. D’apparence légitime, les applications téléchargées compromises comme illustré par l’Apps “Lovely Wallpaper” et sa déclinaison en « ExpensiveWall »[22], permettent non seulement de voler des informations mais de modifier les paramètres du téléphone et de facturer des services non souhaités et utilisés par l’usager ou encore de réaliser des écoutes. Les outils logiciels de développements d’Apps (Software Development Kits) peuvent être également détournés pour injecter des programmes malveillants dans des Apps apparement saines.
Si les chaînes d’approvisionnent logiciels sont compromises, dès lors comment installer, en toute confiance, des logiciels, y compris de sécurité ? Difficile dans ces conditions, de corriger les vulnérabilités et d’améliorer la sécurité des produits tout au long de leur cycle de vie.
Les capacités des personnes en charge de la sécurité des systèmes dépendent de la confiance envers les chaînes d’approvisionnement logiciel, envers lesquels la confiance est difficile à construite, à vérifier et à valider.
L’incapacité à faire confiance à des programmes supposés être de confiance, rend difficile la maitrise des cyberrisques. Cette double problématique de sécurité et de confiance dans les mécanismes de sécurité fait peser une menace systémique sur la confiance et sur sa matérialité.
Ainsi, après les faits alternatifs, il existe désormais une confiance alternative qui dépend de l’incertain et de l’invisible pour les personnes en charge de la gestion de la sécurité informatique, c’est-à-dire de facteurs hors de leur contrôle.
En 2017, suite à des vulnérabilités de produits Microsoft[23] à partir desquelles des programmes malveillants longtemps exploités discrètement par la NSA mais qui ont finis par échapper à leur contrôle[24], permirent au rançongiciel Wanacry de faire la démonstration mondiale de la possibilité et de l’efficacité d’une diffusion de crypto virus pouvant affecter toutes les infrastructures, tous les pays. Depuis ce jeu d’essai concluant, ce genre de cyberattaques (verrouillage par chiffrement des ressources et demandes de rançons) est devenus courant et a révélé toute sa puissance et sa nuisance notamment durant la pandémie de la Covid 19[25].
Désinformation et deep fakes
La désinformation ou la propagande ont toujours existé. Comme la publicité, cela contribue à convaincre, à manipuler, à orienter, à piloter et faire réaliser des actions spécifiques. Avec Internet, ces phénomènes sont faciles à concrétiser de manière massive et rapide mais aussi de manière personnalisée en fonction des cibles et des résultats escomptés.
De vraies-fausses informations ou de fausses-vraies informations circulent et sont amplifiées par les caisses des résonance que constituent les réseaux sociaux.
La réalité virtuelle et les capacités technologiques issues de l’intelligence artificielle pour créer et modifier à l’infini la réalité, permet d’obtenir une réalité parfois plus réelle (et souvent plus belle) que la réalité[26].
Quelles relations de confiance envers la réalité perçue à travers des écrans peut-on développer alors qu’il est difficile, voire impossible, de distinguer le vrai du faux et d’authentifier un contenu et son origine ?
Une logique d’informatisation questionnable
Le manque de sécurité n’est-il pas consubstantiel aux produits et services de l’informatique ?
Les modèles économiques des mises à jour sécuritaires pour combler les vulnérabilités des produits conçus de manière insuffisamment robuste et sécurisée est très rentable et sans fin. Cela est justifié par le besoin réel d’être en sécurité et en confiance, alors que le numérique ne le permet pas par conception. En effet, les choix technologiques, basés sur une rationalité économique, répondent à une politique de développement particulière. Ce n’est pas par hasard que les concepts de « Security by design” et de « Privacy by default » sont rarement instanciés dans des produits.
Apporter des réponses à des défauts de sécurité est bien, mais pas suffisant. Plus il y aura de systèmes, d’objets, d’organisations et des personnes connectés, plus il y aura des problèmes de sécurité. Il s’agit d’un cercle vicieux, il manquera toujours des compétences, des ressources, des solutions de sécurité. Une possibilité de sortir de cet engrenage est de changer de paradigme, et de remettre en cause les modèles d’affaires et de profitabilité du développement du numérique et de la cybersécurité.
Augmenter les contraintes juridiques, les moyens de les faire respecter et les pénalités en cas de non-respect, lutter contre la cybercriminalité et les usages abusifs et détournés, est bien mais toujours pas suffisant. Que des responsabilités soient assignées à tous les acteurs et que ceux-ci les assument en cas de défaillance à la hauteur des risques qu’ils font porter à la société, contribue à une meilleure prise en compte des besoins de qualité, de fiabilité et sécurité. Toutefois, cela ne répondra pas au problème fondamental qui réside dans la réalité de l’économie du numérique basée sur l’exploitation des données, de toutes les données, des traces et des flux numériques. Le respect du droit à la vie privée et à la protection des données personnelles est encore aujourd’hui considéré comme un frein au développement numérique.
Peut-on avoir confiance dans des mesures de protection des données alors que les modèles d’affaires de l’économie numérique sont basés sur l’exploitation des données ?
Lever cette contradiction ontologique, repenser les fondements de l’économie numérique, questionner sa finalité, investir dans la maitrise des risques pour véritablement profiter des opportunités technologiques et faire de l’écologie numérique respectueuse des droits humains devrait contribuer à une société plus résiliante aux cyber nuisances.
Tant que la majorité des solutions de cybersécurité consiste à boucher, les trous d’une casserole conçue comme une passoire, bien que le contexte aurait exigé de disposer d’un récipient sans trous, robuste et fiable ;
Tant qu’il n’y a pas de remise en cause du fait que la casserole a été conçue comme une passoire à trous plus ou moins nombreux et larges (modèle économique du numérique et de la sécurité et vulnérabilités matérielles et logicielles) ;
Tant que la cybersécurité est abordée uniquement sous l’angle de la conquête de marché et de la profitabilité (vendre des rustines de sécurité pour boucher des trous sans pour autant boucher tous les trous), la cybersécurité ne sera pas très efficace. En revanche, le commerce de la cybersécurité, qui s’inscrit dans la durée, est très rentable (besoin constant de toujours plus de rustines, nouvelles rustines et remplacement des plus anciennes, réalisation de rustines de rustines, etc.) ;
Tant que les produits sont commercialisés avec des vulnérabilités ou des portes dérobées;
Alors, il est difficile d’avoir pleinement confiance dans l’écosystème numérique et ses produits. Ainsi, il est plus aisé d’inventer l’ère de la post-confiance.
Penser le contraire que ce que l’on voit, appauvrir les mots et construire des vérités alternatives
Le numérique et la profusion d’initiatives traitant de confiance numérique, contribuent à donner vie au concept de confiance alternative et à l’ère de la post-confiance, à l’instar des concepts de post-vérité et de faits alternatifs inventés par le 45ème président des États-Unis d’Amérique afin de masquer et de dénaturer la réalité a son propre avantage. Le jeu de dupe consiste alors à truquer le langage et les mots pour accréditer une vérité alternative.
Au regard de la réalité des défauts de sécurité, parler de confiance à l’ère numérique c’est recourir la novlangue pour créer une illusion de confiance, à la manière de George Orwell, qui dans son roman «1984», invente la «novlangue» comme instrument de pouvoir, dont le but est l’anéantissement de la pensée et la destruction de l’idée de vérité afin de rendre le mensonge crédible.
Aujourd’hui, est-il encore possible de désirer développer des mesures de cybersécurité qui permettent de construire la confiance ou est-ce simplement impossible, voir absurde ?
Sans disserter sur l’humain, comme être de raison et de désir, insistons sur le besoin et sur la volonté raisonnable d’être en sécurité et en confiance dans le cyberespace et dans le monde physique qui doivent être satisfaits au risque de voir s’effondrer la société du numérique.
Selon Descartes – “Il vaut mieux changer ses désirs que l’ordre du monde”[27] pour le paraphraser, “Il vaut mieux changer la manière de concevoir le numérique et son économie que d’imposer un nouvel ordre du monde fragilisé par le numérique”.
Est-ce impossible ? Peut-être, mais il n’est pas absurde de désirer l’impossible.
En attendant, imaginons, avec Albert camus, Sisyphe heureux[28].
Notes
[1] https://optimumsecurity.ca/21-biggest-data-breach-of-21-century/
[2] https://www.businessinsider.fr/us/stolen-data-of-533-million-facebook-users-leaked-online-2021-4
[3] Edward Snowden ; « Mémoires vives », Seuil, 2019 (version française du livre « Permanent record », Metropolitan books (Macmillan).
[4] Solange Ghernaouti ; « La cybercriminalité, le visible et l’invisible » ; Collection Le savoir suisse, 2009.
[5] Cédric Durand, « Technoféodalisme, critique de l’économie numérique » ; Zones, 2020.
[6] Shoshana Zuboff « L’Âge du capitalisme de surveillance » ; Zulma, 2019, traduction française de « The age of surveillance capitalism » ; Profile books 2019.
[7] Multiples vulnérabilités dans Microsoft Exchange Server (mars 2021)
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/
Bulletin de sécurité Microsoft du 02 mars 2021 : « On-Premises Exchange Server Vulnerabilities Resource Center » Microsoft Security Response Center, March 2, 2021
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Patch de sécurité concernant les versions 2013, 2016 et 2019 de Microsoft Exchange server Released: March 2021 Exchange Server Security Updates (3 mars 2021)
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
[8] https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/
[9] Multiples vulnérabilités dans Intel CSME, Intel SPS, Intel TXE, Intel DAL et Intel AMT 2019.1 QSR
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-210/
[10] Load Value Injection, CVE-2020-0551
https://businessresources.bitdefender.com/hubfs/Bitdefender_Whitepaper_LVI-LFB_EN.pdf
[11] A titre d’exemple de produits concernés :
https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/
[12] SSL 3.0 Protocol Vulnerability and POODLE Attack
https://us-cert.cisa.gov/ncas/alerts/TA14-290A
“Heartbleed” OpenSSL Vulnerability
https://us-cert.cisa.gov/sites/default/files/publications/Heartbleed%20OpenSSL%20Vulnerability.pdf
[13] https://www.kaspersky.fr/about/press-releases/2019_operation-shadowhammer-new-supply-chain-attack
[14] Porte dérobée Kinkslayer
https://www.rsa.com/en-us/blog/2017-02/kingslayer-a-supply-chain-attack
[15] https://www.reuters.com/article/us-usa-cyber-treasury-exclusive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG
https://www.sans.org/blog/what-you-need-to-know-about-the-solarwinds-supply-chain-attack/
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
[16] https://thehackernews.com/2018/04/ccleaner-malware-attack.html
[17] Rançongiciels et cyberattaques : comment ça marche? https://www.youtube.com/watch?v=PbQe5gyY-Vw
[18] https://www.lemonde.fr/pixels/article/2020/05/04/vingt-ans-apres-le-createur-du-virus-informatique-i-love-you-temoigne_6038636_4408996.html
[19] https://attack.mitre.org/software/S0089/
[20] https://www.kaspersky.fr/resource-center/threats/blackenergy
[21] https://www.zdnet.com/article/open-source-spyware-makes-it-on-the-google-play-store/
[22] https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/
23] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
[24] https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
[25] https://www.europol.europa.eu/activities-services/staying-safe-during-covid-19-what-you-need-to-know
[26] https://www.rts.ch/info/culture/12033222-pourquoi-les-videos-deepfake-de-tom-cruise-sontelles-si-flippantes.html
[27] René Descartes, « Discours de la méthode », 1637.
[28] Albert Camus, « Le mythe de Sisyphe », Gallimard, 1942.