Faire face à l’illusion d’un numérique salvateur

Épisode 1

La fin de la naïveté

La technologie n’est pas neutre

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Il serait naïf de continuer à croire que seuls les bons ou les mauvais usages qui peuvent en être faits sont du ressort des utilisateurs et de leur éthique. En effet, depuis Prométhée dont le mythe rappelle qu’il dérobe le feu à Zeus pour le donner aux hommes, nous savons que « Toute innovation technique est à double face selon le changement qu’elle opère dans la distribution et l’exercice du pouvoir, elle enlève le pouvoir à certains pour le donner à d’autres, en changeant la réalité pour tous » [1].

C’est à la lumière de l’exercice du pouvoir et de l’expression de la puissance des acteurs qui imposent les technologies, qu’il est nécessaire de lire les conséquences de l’adoption de nouveaux usages numériques. Cela sans occulter les usages abusifs, détournés, criminels, terroristes et conflictuels qui peuvent en découler [2].

Le pouvoir numérique est dans les mains de ceux qui conçoivent, commercialisent, mettent en œuvre, gèrent, les infrastructures numériques, dans les mains de ceux en mesure de les pirater, de les saboter et de les cyberattaquer [3] rarement dans les mains des utilisateurs.

Un triple mensonge ontologique

L’adoption de nouveaux usages numériques s’est bâtie sur un triple mensonge :

  • Celui de la gratuité. Les utilisateurs payent avec leurs données. L’économie du numérique est bâtie sur l’exploitation des données collectées gratuitement et non sur leur protection.
  • Celui de l’illusion de liberté. Il ne peut s’agir de liberté lorsqu’il y a dépendance au numérique et à ses fournisseurs pour vivre tenu en laisse électronique et sous surveillance informatisée.
  • Celui faisant croire que l’évolution technologique est une évolution naturelle inéluctable. L’idéologie numérique n’est pas le résultat d’une évolution de la nature, elle reflète les affrontements économiques, politiques et les enjeux de rivalité de ceux qui imposent les modèles économiques et les usages numériques.

Le numérique porte une vision du monde, tels que promus par les géants de la Tech, qu’ils soient d’origine américaine ou chinoise, qu’elle est la notre ?

Les technologies sont le fruit d’une vision politique et économique. Elles modifient profondément la manière de vivre aux niveaux individuel et collectif dans les sphères privées, professionnelles et publiques, avec des répercutions sociétales et géopolitiques à l’échelle nationale et internationale.

Sortir de l’hypnose d’un numérique « Salvator mundi »

Il est temps de sortir de la croyance qui prétend que la technologie peut répondre à tous les problèmes politiques, économiques, sociaux ou environnementaux.

Il est temps de ne plus croire que notre existence, notre bien-être et notre sécurité dépendent uniquement du numérique.

Il est temps de comprendre les enjeux de puissance et de rivalité des acteurs du numérique pour trouver des alternatives crédibles à la fuite en avant du tout numérique, à la course à l’armement technologique et à la soumission généralisée qui consiste à être inféodé à l’industrie du numérique et à ses acteurs hégémoniques [4]. Ces derniers, dont l’unique objectif est de générer des profits, savent promouvoir leurs intérêts en passant aussi par des influenceurs et des acteurs locaux, le plus souvent juges et parties, dont les principales contributions sont de rassurer la population, de favoriser la fabrique de la servitude volontaire [5] et celle du consentement non éclairé.

Notes

[1] « Technocivilisation pour une philosophie du numérique », R. Berger, S. Ghernaouti, EPFL Press, 2010.

[2] « Cyberpower, crime, conflicts & securtiy in cyberspace » S. Ghernaouti, EPFL Press, 2013.

[3]  « La cybercrimnalité, les nouvelles armes du pouvoir » S. Ghernaouti, EPFL Press, 2017 (Prix 2018 du livre du Forum International de la Cybersécurité).

[4] « Techno-féodalisme, critique de l’économie numérique », C. Durand, Editions Zones, 2020.

[5] « La nouvelle servitude volontaire. Enquête sur le projet politique de la Silicon Valley. P. Vion-Dury. Editions Fyp, 2016.

Fuites de données, comptes piratés, mots de passes dans la nature

Un éternel recommencement

La mode est un éternellement recommencement, le piratage informatique et la fuite de données aussi. L’annonce faite en janvier 2019 par Troy Hunt, expert sécurité, directeur régional de Microsoft Australie, via son site d’information Have I Been Pwned (HIBP) (“j’ai été mis en gage” – j’ai été dépossédé de mes données) en témoigne. Le site répertorie les principales brèches de sécurité et fuites de données pour aider les personnes à identifier si elles en ont été victimes ou non et pour faire des recommandations (y compris en faveur des solutions Microsoft).

Des collections particulières

Cette gigantesque fuite de données communiquée sous le nom de Collection # 1 résulte de nombreux piratages (environ 12 000 dont certains remontent à plusieurs années) et concernerait 2,7 milliards d’identifiants, près de 773 millions d’adresses distinctes et plus de 21 millions de mots de passe. De nouvelles fuites de données (Collection # 2 à 5) ont été révélées dans la foulée et correspondrait à 2,2 milliards d’adresses email et de mots de passe associés provenant de vols massifs de données sur des plateformes de fournisseurs de services comme par exemple en 2016 Yahoo (plus de 500 millions de comptes), Linkedn (117 millions) ou encore Dropbox (68 millions). Le nombre de comptes utilisateurs piratés chez leur fournisseurs se compte généralement en millions (500 millions pour les hôtels Marriott, 92 millions pour la plateforme de généalogie et de test ADN  MyHeritage en 2018, 57 millions pour Uber et 143 millions pour l’agence de crédit Equifax  en 2017, 412,2 millions pour le site de mise en relation Adult Friend Finder en 2016, 145 millions pour Ebay, 76 millions pour JP Morgan Chase en 2014 pour ne donner que quelques exemples).

Une collection est une accumulation d’objets ayant un intérêt, une valeur. La valeur de ces collections n’est pas liée à la rareté de l’information mais à son grand nombre et aux possibilités d’exploitation qu’elle autorise.

Applications concrètes du vol massifs de données

Ainsi, l’usurpation des paramètres de connexion d’un individu, permet de réaliser des actions ciblées de phishing et d’ingénierie sociale afin de manipuler une personne, la leurrer, la conduire à réaliser des actions spécifiques en vue d’escroqueries, d’intrusions dans des systèmes, de la diffusion de programmes malveillants (virus, prise de contrôle de la machine utilisateur pour des attaques en dénis de service, cryptolocker, cheval de Troie, …), etc. Cela permet également de faire porter la responsabilité d’actions malveillantes sur la personne dont le compte a été usurpé, de faire des campagnes de spam, de faire blacklister des adresses email, d’usurper des identités numériques sur des réseaux sociaux, de compromettre des contenus etc. …

Posséder un mot de passe est généralement synonyme de posséder le “Sésame ouvre – toi” de tous les comptes d’un internaute. Même si ce dernier possède des mots de passe différents, il est souvent aisé de déduire comment il les choisi.

Si toutes les informations rendues publiques ne sont pas directement exploitables et profitables il n’empêche que les outils d’analyse des données permettent de retrouver “une aiguille dans une meule de foin” et de tirer parti d’une information relative à l’identification d’une personne. Cela permet par exemple, de reconstituer des organigrammes d’entreprises, des annuaires professionnels de personnes y compris de celles travaillant pour des services sensibles gouvernementaux (justice, police, affaires étrangères, défense, renseignement, …) ou d’institutions privées, de faire fuiter des informations concernant des personnalités politiques, etc. par ailleurs, être en mesure de savoir qui communique avec qui, de récupérer des carnets d’adresses, de créer de “vraies” fausses informations et de faire croire que des contenus émanent de telle ou telle personne, peut servir des stratégies d’influence ou de déstabilisation.

Le contrôle d’accès en question

Cette énième affaire de mots de passe révélés, met en lumière la fragilité des barrières de protection des systèmes basées sur le contrôle d’accès à un seul facteur d’authentification (le mot de passe) et sur la difficulté qu’ont les fournisseurs de services à de protéger correctement les mots de passe de leurs clients, à moins que cela ne soit pas une priorité “business” ou que cela relève de la négligence.

Identifier, être en mesure de prouver l’identité en l’authentifiant constitue une brique de base indispensable au transaction commerciales et financières (consommation, paiement, suivi du consommateur, marketing, publicité ciblée, profilage, traçabilité, …).

Les processus d’identification et d’authentification sont au cœur des mécanismes de contrôle d’accès contribuant à rendre accessible ou non, des ressources informatiques, selon des critères prédéfinis.

Substituer ce que l’on sait par ce que l’on est (contrôle d’accès biométrique, empreinte digitale, rétine, …), ou par ce que l’on possède (jeton d’authentification, clé USB, puce électronique, …) sont des alternatives ou des techniques complémentaires à l’usage de la connaissance de secrets. En fait, toutes ces techniques nécessitent de garder de manière sécurisée des informations du côté du serveur d’authentification et ne résout pas le problème de la fuite possible de ces informations, que même si elles sont chiffrées (cryptées) peuvent parfois être déchiffrées (cas de Collection # ).

Changer de mots de passe régulièrement est toujours une possibilité, l’usage d’un système de mot de passe unique est encore mieux en attendant de pouvoir s’affranchir totalement de l’usage de mots de passe, mais peut être que le remède serait alors pire que le mal …

Depuis 2013, le consortium industriel américain “Fast IDentity Online” (l’Alliance FIDO) promeut l’usage intégré de plusieurs techniques d’authentification, ainsi que des standards d’authentification Web Authentication (WebAuthn) standard (avec le World Wide Web Consortium (W3C)) et du Client to Authenticator Protocol (CATP). L’ensemble étant soutenus par les acteurs hégémoniques du Net, de la téléphonie, des organismes de paiement comme Google, Microsoft, Amazon, Alibaba, Facebook, Intel, Lenovo, Paypal, Sansung, Visa par exemple, membres de “l’alliance” et dont les solutions sont intégrées dans leurs produits. Cette même Alliance est en mesure de certifier les partenaires qui adoptent ses mécanismes d’authentification…

Dénoncer des problèmes de mauvaise gestion de mots de passe pour inciter à une meilleure qualité de gestion des mécanismes d’authentification est une bonne chose. Migrer vers d’autres mécanismes d’authentification, qui déplace le problème de la sécurité sans pour autant le résoudre car les solutions de sécurité doivent être sécurisées avec une robustesse efficace dans le temps (ce qui n’est pas encore prouvé), ressemble à une fuite en avant technologique. L’incitation à passer par des solutions “FIDO” fidélisera le consommateur à une solution unique valable pour tout, ce qui facilitera également son profilage et ajoutera de la dépendance à la dépendance.