J’étais enfant au temps des nanotechnologies et de la surveillance de masse

27 juillet 202127 juillet 2021 Solange Ghernaouti 9 commentaires

Fable de l’ère numérique

J’étais enfant au temps des nanotechnologies, c’était juste après la première grande pandémie.

Des promesses avaient été faites sur les bienfaits des nanotechnologies permettant de créer aussi bien des matériaux intelligents, que des habits, des médicaments ou des vaccins, capables d’être au service de la santé personnalisée des individus, de la construction, de l’isolation thermique, de la production d’énergie renouvelable ou d’eau potable, comme aussi de la dépollution par exemple.

Petits et grands rêvaient de l’arrivée de cette ère ultra technologisée pour sortir de l’impasse environnementale qui avait été créée par la surconsommation des ressources de Dame Nature par les générations antérieures. Ils pensaient que les nanotechnologies allaient remplacer et pallier les ressources épuisées – qui faisaient défaut – en créant de nouvelles ressources artificielles bio-inspirées, en abondance.

Beaucoup croyaient que les dégâts environnementaux créés par le pouvoir de la science et des techniques, allaient être réparés avec toujours plus d’innovations technologiques. Une fuite en avant technologique en a résulté et les promesses d’hier se sont transformées en un enfer quotidien.

Personne alors, ne pensait à la catastrophe écologique due à la fabrication et à l’usage des nanotechnologies et à leurs déchets non recyclables auxquels nous sommes encore confrontés aujourd’hui. Ainsi, force est de constater que les nano et bio technologies, que l’informatique et les sciences cognitives (ils les appelaient dans ce temps-là, les NBIC), ont résolu certains problèmes, seulement au prix de l’épuisement de certaines ressources et du déplacement des effets négatifs.

En effet, à l’endroit où les nanotechnologies étaient consommées, tout semblait à très court terme, aller au mieux mais les effets rebonds des usages et fabrication extensive des Nano-Trucs ont eu des conséquences dramatiques sur le monde hyperconnecté et globalisé alors en place et les NBIC ont au final contribué à accentuer le manque de matières premières.

La Science et la Technique avec leur cohorte de gourous, d’économistes, de communicants (alors qualifiés de pédagogues) et promoteurs divers, soutenus par des personnes en charge de l’Administration Globale et du Contrôle Intégré (l’AGCI) furent de véritables illusionnistes. Ils opéraient comme le font les magiciens, en détournant l’attention de la population sur ce qui était délibérément rendu visible pour mieux opérer à l’insu de tous. Dans ce temps-là, tout le monde était fasciné par le progrès technique, comme pouvaient l’être les petits enfants qui croyaient au Père-Noël, au 20^ème siècle.

La miniaturisation des équipements électroniques, véritable prouesse technologique, a donné naissance à la nanoélectronique dont les composants de l’ordre de grandeur du nanomètre, peuvent facilement être ingérés où insérés par simple piqûre relativement indolore, dans les corps des organismes vivants.

Cette méthode consistant à injecter dans le corps des composants électroniques avait commencé avec le puçage des animaux sauvages – pour mieux les suivre à la trace – mais aussi avec celui des animaux domestiques comme les chiens par exemple, dont l’identification par puce électronique était devenue obligatoire au début du 21^ème siècle. A l’époque, ma grand-mère Germaine, se souvenait que personne n’y avait trouvé à redire, bien que personne ne sût ni à quoi cette innovation servait en pratique, ni ce qu’elle apportait de plus aux chiens, ou à leurs propriétaires dont personne n’avait d’ailleurs sollicité l’avis. « Pas de puce électronique, pas de chien ! ». Cela concernait tous les chiens, petits ou grands, chiens d’aveugles y compris. La liberté d’avoir un chien passait impérativement par la non-liberté d’avoir un chien sans une puce électronique dans le cou.

C’est comme cela que tout a commencé disait Germaine, à qui voulait l’entendre, avant que le Nouveau Contrat Social (NCS) soit imposé, d’abord aux professeurs (avant que leur métier disparaisse), puis à toute la population, à l’exception des Agents de la Force Spéciale de l’AGCI, avant donc qu’elle ne puisse plus s’exprimer à cause du système à points du Control Social Sécurisé (CSS) qui permettait ou non, d’accéder à des facilités indispensables à la vie de tous les jours.

Au début, s’autorisait-elle parfois à se rappeler à elle-même en marmonnant, lorsqu’elle pensait être hors des yeux et des oreilles des assistants domestiques électroniques (les désactiver étaient devenus progressivement impossible et les détecter également du fait de leur miniaturisation et de leur présence insoupçonnable dans toutes sortes d’équipements), Germaine se disait donc, qu’avant, personne n’aurait pu croire que le VPP, le Vital Pass Personnalisé –systèmes d’accès à base de QRCode – allait devenir l’Instrument de surveillance du CSS et du contrôle de tous les faits et gestes de chacun, et cela en permanence.

Graduellement, aucun comportement, aucun déplacement, aucun contact, aucune activité ne pouvait plus se réaliser sans un enregistrement dans la base de données contrôlée par l’AGCI. Personne ne connaissait la vie cachée de ces données enregistrées, ni ne savait quels traitements informatiques étaient appliqués. En revanche, tous savaient que de leur comportement et du nombre de points associé à leur profil, dépendraient des autorisations pour accéder à des services, des lieux, des moyens de transport. Même le droit d’accéder à l’éducation ou au travail en dépendait.

Tout un système de bons points et de mauvais points avait été élaboré et mis en place pour « normer » la vie des individus, pour leur sécurité et leur bien-être.

Complètement obscur, le barème des bonus/malus pouvait changer en fonction des circonstances et des personnes. C’était un système agile et dynamique s’adaptant en temps réel aux exigences de l’AGCI et des personnes ciblées, notamment celles identifiées par les Agents et leurs systèmes d’intelligence artificielle, comme étant des personnes à risques.

C’est à cette époque également, que les nanoparticules de silice, de carbone, de fer, d’or et d’argent, de tungstène, de dioxyne de titane, d’oxyne d’aluminium ou de zinc, par exemple, pouvaient servir d’additifs à toutes sortes de produits (peinture, objets du quotidiens, habits, cosmétiques, crèmes solaires, aliments…). Leur dispersion dans tous les environnements était censée augmenter le confort et la santé des personnes, mais aussi leurs prouesses physiques, psychiques et physiologiques. Ainsi, avec les nanomatériaux, tout devenait intelligent : emballages, poubelles, déchets, crèmes réparatrices, lessives et détergents, denrées et arômes alimentaires…. Le règne des poussières intelligentes devait enfin permettre d’accéder au bonheur technologique et faisait rêver les mêmes qui croyaient au Père-Noël mais aussi ceux persuadés que l’humanité aurait tout à y gagner, y compris l’immortalité, en passant du stade de l’Anthropocène à celui du Robotocène.

Réduire la taille des composants pour les rendre invisibles fut concomitant à la dématérialisation de toutes les activités humaines, par le traitement et la communication de données informatiques ; même les échanges, quelles que soient leurs finalités, étaient devenus d’une certaine manière, invisibles car numériques et par certains côtés, immatériels. Ils étaient des flux de données informatiques entre ordinateurs. L’automatisation et la virtualisation furent les deux faces indissociables de la rupture numérique et de la plateformatisation de la société axées sur la performance et la rentabilité économique pour certains.

Aujourd’hui, moi qui vous parle, je suis un vieillard, alors que le livre de science-fiction Soleil vert[1] paru il y a une éternité (interdit depuis longtemps par le CSS) est devenu notre réalité, à nous les vieux qui tentons désespérément de dérobotiser les activités, de les ré humaniser, de créer des emplois locaux pour que la créalisation[2] des biens et des services se fasse, par des humains, au plus près de ceux qui en ont besoin. Depuis plus de vingt ans les seuls emplois disponibles sont ceux liés à la maintenance des systèmes informatisés qui consistent à appliquer des procédures dictées et contrôlées par des logiciels. Toutes les personnes dont les métiers étaient liés à l’accueil et aux services furent systématiquement remplacées par des automates et robots de toutes sortes, ou encore par des télétravailleurs situés dans des pays où la main-d’œuvre et la matière grise coûtaient moins cher. Ainsi les métiers qui avaient échappé à la mécanisation, à la robotisation, à la machinisation informatique ont été externalisés dans des pays tiers, cela concernait tous les domaines d’activités, tous les services, tous les professionnels (juristes, comptables, médecins, coachs, …). Les connaissances étant devenues disponibles à un plus grand nombre, partout dans le monde, du fait de la mise en réseau des logiciels d’apprentissage.

Maintenant que ma vie sur Terre est en passe de devenir un souvenir pour ceux qui l’ont partagée et qui me survivront, je m’emploie avec beaucoup d’autres, à réinventer le concept de dignité humaine et à montrer la voie d’une civilisation soutenable d’un point de vue technologique. Se débrancher et se déconnecter sont devenus une évidence et pas seulement pour pouvoir voire les étoiles la nuit.

Nous tentons de réinstaurer la robustesse et la simplicité des objets du quotidien et des outils, pour les faire durer et pouvoir les réparer si nécessaire.

Nous ne mettons en œuvre et nous n’utilisons que des systèmes techniques que nous maitrisons complètement, c’est-à-dire durant tout leur cycle de vie et dès leur conception.

Nous luttons, ayant compris les limites du recyclage et de la logique « du tout jetable », contre l’obsolescence programmée des êtres, des choses et des territoires.

Nous oublions la recherche de la performance à tout prix et faisons-en sorte que le beau et l’esthétique ne soient pas au service du consumérisme qu’il soit de la culture ou de la mode par exemple.

Nous œuvrons à ce que l’économie ne soit plus basée sur la création infinie de nouveaux besoins et désirs, mais sur la manière de répondre aux besoins fondamentaux par un minimum de ressources.

Je suis convaincue que Germaine aurait apprécié cette démarche de sobriété technologique heureuse, car assumée, alors qu’elle n’a connu, me semble-t-il, que des choix technologiques imposés par les autorités, puis dictés par la pénurie des ressources. En fait, celle-ci fut essentiellement engendrée par l’épuisement relativement rapide, à l’échelle de la planète, des composants comme les terres rares[3], nécessaires à la fabrication des équipements électroniques.

En quelques années, la demande infinie de nouveaux équipements électroniques et usages informatiques, avec des besoins énergétiques toujours croissants, a dû être limitée, et certains services et facilités ont même dû être d’abord restreints puis carrément interdits. Ainsi par exemple, la raréfaction du Lithium qui fut surexploité pour fabriquer des batteries pour trottinettes, vélos, voitures et autres moyens de locomotion qualifiés d’écologiques au début du 21^ème siècle, parce que ne libérant pas de CO2 là où ils sont utilisés (mais engendrant des problèmes de pollution liés à l’extraction des matières premières nécessaires à leur fabrication, puis liés à leurs déchets, c’est-à-dire, ailleurs), aura eu comme avantage d’empêcher entre autres, la fabrication des drones de surveillance et de coercition opérant sur terre, sous la mer et dans les airs ; ce fut le début de la fin de la surveillance de masse, ce qui pour certains était une catastrophe, pour d’autres, une opportunité d’agir pour que demain soit différent mais en mieux.

Notes

[1] Soleil vert, Harry Harrison 1966 (film au nom éponyme inspiré du livre de Richard Fleischer, 1973).

[2] Néologisme inventé par ma grand-mère à partir de création et réalisation

[3] Terres rares : Matières minérales (regroupant le scandium, l’yttrium, et quinze lanthanides (Lanthane, Cérium, Praséodyme, Néodyme, Prométhium, Samarium, Europium, Gadolinium, Terbium, Dysprosium, Holmium, Erbium, Thulium, Ytterbium, et Lutécium)) considérées comme stratégiques car utilisées dans des produits de hautes technologies.

Perte de souveraineté numérique, la faute de trop

10 juillet 202110 juillet 2021 Solange Ghernaouti 19 commentaires

En 2021 la Confédération helvétique choisi des services Cloud fournis par des acteurs hégémoniques de l’Internet dont quatre sont américains (Amazon, IBM, Microsoft et Oracle) et un chinois (Alibaba). Dans ces conditions, la souveraineté numérique de la Suisse, n’est pas possible.

Le fait d’être dépendant de ces fournisseurs, qui deviennent indispensables au bon fonctionnement de la société, et qui par conséquent fait perdre la maitrise de nos territoires numériques, peut être considéré comme une faute stratégique.

Ce faisant, nous continuons à augmenter notre dépendance informatique envers ces géants du numérique, tout en renforçant à notre détriment, leur pouvoir et leur puissance. Chaque renoncement dans ce sens, chaque nouveau contrat passé, augmente notre soumission et notre incapacité à développer nos propres solutions ou à renforcer celles existantes y compris celles européennes. De ce fait, les acteurs locaux sont affaiblis et l’émergence d’acteurs nationaux et leur développement est illusoire.

Aucun discours vantant la Suisse digitale, sa « Trust Valley », la qualité de sa formation, ses centres de compétences, ses incubateurs de start-ups, ainsi qu’aucune action promotionnelle de l’écosystème numérique suisse, ne peuvent pallier la réalité de l’abandon stratégique de nos données et traitements, ni pallier celle de notre soumission volontaire aux géants du Net.

Cette mise sous tutelle additionnelle, contribue à faciliter les écoutes et la surveillance numérique. Ainsi les capacités d’espionnage, qui sont également mises au services agences gouvernementales des pays de ces fournisseurs, affaiblit nos actions dans les domaines économique, politique, diplomatique et militaire. Choisir ces acteurs, c’est leur offrir le moyen de saboter nos infrastructures dépendantes de leurs services et de leur bon vouloir.

En leur donnant un avantage stratégique concurrentiel de première importance et un levier d’influence géopolitique et économique, a-t-on au moins négocié des contreparties intéressantes ?

En acceptant la dépendance technologique, nous acceptons également celle économique, normative et juridique qui en découle. Ainsi va la souveraineté nationale de la Suisse, un bien bel exemple pour le reste du monde.

L’ère de la Post-Confiance

7 avril 2021 Solange Ghernaouti 16 commentaires

Le mot confiance est dérivé du vieux français « fiance », c’est-à-dire « foi ».

D’après le dictionnaire, la confiance est le fait de croire, d’avoir foi en quelque chose. L’assurance qui en découle peut-être un sentiment de sécurité ainsi que la possibilité de se fier à une entité.

Lorsque que nous réalisons des activités en ligne, sommes-nous en confiance, en sécurité et en mesure de développer un sentiment d’innocuité ?

Pour apporter des éléments de réponse à cette question, qui en fonction de l’expérience de chacun peut avoir diverses résonnances, revisitons quelques constats.

Vols massifs de données

Depuis le début de ce siècle, les fuites et les vols massifs de données sont devenus habituels et n’ont fait que s’amplifier à partir des années 2010. Ce sont plusieurs dizaines et centaines de millions de comptes utilisateurs qui sont régulièrement siphonnés des serveurs des fournisseurs de services. Tous sont concernés, y compris les plus grands et ceux qui font le numérique (Sony PlayStation, JP Morgan, RSA Security, Dropbox, Adobe, eBay, Yahoo, mySpace, LinkedIn, Uber, Facebook, Equifax, Marriot, Tinder, British Airways, Easy Jet, SITA, Verisign, etc.[1]). Ainsi par exemple, les informations relatives à 533 millions de comptes Facebook incluant entre autres identifiants Facebook, numéros de téléphone, noms, adresses, date de naissance, biographies se trouvent, depuis 2019, à disposition de la cybercriminalité à des fins d’usurpation d’identité, d’ingénierie sociale et de fraudes[2]. Chaque année, le nombre cumulé des fuites de données s’exprime en plusieurs milliards de comptes utilisateurs.

Espionnage structurel omniprésent et marché de la surveillance

En 2013, Edward Snowden[3] révélait au monde l’ampleur des écoutes et de la surveillance des télécommunications et de l’Internet par les agences de renseignement nord-américaines. En parallèle se développait la surveillance, basée sur la collecte massive des données et leur exploitation sans limite. Cette dernière est devenue le moteur de l’économie numérique, mais aussi du développement des pratiques numériques, de l’intelligence artificielle, ou encore du déploiement de la 5G.

La dématérialisation des services, la géolocalisation, les services personnalisés, la connectivité permanente, les capteurs de données, les drones, les objets connectés, les caméras de vidéosurveillance, l’usage des réseaux sociaux et des plateformes numériques, génèrent des flux et des traces numériques. Ces derniers constituent un gisement informationnel exploitable tant par des entités publiques que privées, tant par des acteurs licites qu’illicites[4].

La donnée est un bien tangible commercialisable, source de valeur à qui sait la collecter, la stoker, la transformer, la transmettre, la maitriser. Le commerce des données, y compris des données personnelles et de l’identité numérique, est au cœur du capitalisme numérique néolibéral[5]. Il est indispensable à la croissance numérique, à l’économie de l’attention et à celle concomitante de la surveillance[6]. Ainsi, toutes restriction, protection, limitation d’usage des données, constituent un frein au développement de l’économie numérique.

Dès lors peut-on encore s’étonner que le capital informationnel des individus et des organisations publiques et privées puisse être convoité par des acteurs de l’économie licites et de l’économie souterraine ?

Vulnérable et piratable par conception

Force est de constater que des produits insuffisamment robustes et sécurisés sont utilisés comme l’a démontré, pour ne donner qu’un seul exemple, les vulnérabilités d’un des systèmes de messagerie électronique les plus utilisés de par le monde (Microsoft Exchange) révélé en mars 2021[7]. Même si des rustines de sécurité ont également été publiées, le délai écoulé entre les découvertes des vulnérabilités, le développement des mesures d’atténuation, l’installation des « rustines » de sécurité et la mise à jour de tous les systèmes concernés, offre aux cyberattaquants, une fenêtre d’exploitation des failles suffisamment longue pour être mise à profit. Cela permet d’exfiltrer des données, de détourner les capacités de traitement, de pénétrer des systèmes d’information et d’y progresser ou encore d’installer des programmes malveillants et avoir le contrôle distant des environnements infectés.

Par ailleurs, la vulnérabilité conceptuelle du cœur de tous les équipements électroniques, que sont les processeurs, est connue depuis 2018[8]. Il s’agit des failles de sécurité dénommée « Spectre » et « Meltdown », qui depuis 1995 concernent les processeurs Intel, AMD et ARM et qui, si elles sont exploitées, permettent des accès aux données et rendent vulnérables les systèmes d’exploitation exécutés par ces processeurs (Windows, MacOS, iOS, Android, etc.). Depuis, de nouvelles vulnérabilités liées à l’architecture des microprocesseurs, sont régulièrement annoncées pouvant provoquer par exemple des dénis de service à distance, permettant exflitrer des données confidentielles ou encore faire de l’élévation de privilèges pour s’introduire et naviguer dans des systèmes d’information[9] ou encore permettant d’injecter du code à distance[10] .

A cette problématique de défaut de conception des processeurs s’ajoute celle des portes-dérobées (backdoors) expressément conçues et intégrées dans les matériels et logiciels par les fournisseurs, pour en prendre le contrôle à l’insu des propriétaires légitimes[11].

Enfin, nul ne peut plus ignorer que les solutions de sécurité peuvent posséder également des failles de sécurité (failles Poodle ou Heartbled[12] par exemples des solutions qui permettent de réaliser des mécanismes de chiffrement et de mettre en oeuvre des fonctions de sécurité).Lorsqu’il est difficile d’être sûre de la sécurité de la sécurité, alors un faux sentiment de sécurité se substitue à celui de confiance dans la sécurité.

Ces quatre cas emblématiques, illustrent qu’il est difficile de croire avec assurance dans la qualité, la fiabilité, la sûreté et la sécurité des environnements informatiques. De facto, « par conception », il est difficile d’avoir naturellement confiance dans les infrastructures numériques mises à disposition des usagers.

Chaines d’approvisionnement logiciels compromises et programmes malveillants

Les logiciels ont aussi leurs chaines d’approvisionnement et celles-ci peuvent être utilisées pour réaliser des cyber-attaques. Jusqu’à présent les utilisateurs faisaient confiance à leurs fournisseurs, les autorisant pour certains à installer automatiquement les nouvelles mises à jour, ce qui parfois peut entrainer l’installation de programmes malveillants.

Ainsi par exemple en 2019 l’opération ShadowHammer[13] était rendue publique. Le détournement du logiciel ASUS Live Update Utility d’installation des mises à jour logicielles du constructeur Taiwanais de matériel informatique ASUS a permis d’infecter plusieurs dizaines de milliers d’ordinateurs de par le monde et d’installer des Chevaux de Troie, véritable porte dérobée permettant la prise de contrôle à distance des systèmes et l’injection de codes malveillants.

La majorité des plateformes logicielles font l’objet de détournement et de compromission de leur relations privilégiée avec leurs clients pour abuser les protections en place (notamment les antivirus) et faire installer des points d’entrée dans les systèmes qui permettent l’installation de programmes malveillants à la place ou en même temps que des mises à jour légitimes (exemple opération Kingslayer[14] qui ouvre les portes des systèmes infectés). Ce mécanisme d’attaque contre les chaines d’approvisionnement logiciels qui exploite le vecteur des mises à jour légitimes a été utilisée contre la firme SolarWinds et ces clients dont notamment de nombreuses agences gouvernementales d’Amérique du Nord (Département d’État, de la sécurité intérieure, de l’énergie, du Trésor…) ou encore l’entreprise américaine de sécurité FyreEye par exemple[15]. Le logiciel CCleaner (censé optimiser les performances d’un ordinateur sous Windows ou Mac OS, libérer de l’espace mémoire, d’effacer des traces de navigation web, …) a aussi été affecté par ce type d’attaque en 2017, touchant plusieurs millions de systèmes et d’utilisateurs[16].

Les mises à jour logicielles signées par des certificats volés ou falsifiés pour leurrer systèmes et personnes permet d’installer des logiciels malveillants dans des systèmes cibles qui ensuite les propagent. Cela conduit à de l’espionnage, des vols de données (exfiltration de données) ou encore au chiffrement des données et le cryptoblocage des systèmes à des fins de chantage et de demande de rançons[17]. Cela permet également de réaliser attaques en déni de services.

Ainsi l’acte recommandé pour des raisons de sécurité, de mettre à jour ses systèmes, devient de manière perverse et insoupçonnable un vecteur d’intrusion très efficace d’installation et de distribution de virus informatiques.

IL s’agit d’une ultime rupture de confiance, puisque le modèle économique de la sécurité est basé sur la distribution de rustines de sécurité à installer régulièrement.

De manière plus classique et depuis plus d’une vingtaine d’années ce sont des pièces jointes et des fichiers bureautiques compromis (Word, Powerpoint, Adobe, Excell, …) transmis par des messages électroniques, qui peuvent participer à la diffusion et à l’installation de virus. Le virus I Love you[18] en mai 2000 est à ce titre, un cas d’école. Le programme malveillant BlackEnergy[19], véritable Cheval de Troie qui existe depuis 2007 et dont la version 3 qui circule depuis 2014 a permis notamment de cyberattaquer des infrastructures industrielles en Ukraine en 2015 en ciblant, entre autres, son infrastructure d’approvisionnement en électricité et en rendant les systèmes inopérables[20].

Les applications mobiles ne sont pas épargnées et des attaques diffusant des logiciels malveillants sur des téléphones intelligents peuvent se réaliser via Google Play Store ou l’App Store d’Apple par exemples[21]. D’apparence légitime, les applications téléchargées compromises comme illustré par l’Apps “Lovely Wallpaper” et sa déclinaison en « ExpensiveWall »[22], permettent non seulement de voler des informations mais de modifier les paramètres du téléphone et de facturer des services non souhaités et utilisés par l’usager ou encore de réaliser des écoutes. Les outils logiciels de développements d’Apps (Software Development Kits) peuvent être également détournés pour injecter des programmes malveillants dans des Apps apparement saines.

Si les chaînes d’approvisionnent logiciels sont compromises, dès lors comment installer, en toute confiance, des logiciels, y compris de sécurité ? Difficile dans ces conditions, de corriger les vulnérabilités et d’améliorer la sécurité des produits tout au long de leur cycle de vie.

Les capacités des personnes en charge de la sécurité des systèmes dépendent de la confiance envers les chaînes d’approvisionnement logiciel, envers lesquels la confiance est difficile à construite, à vérifier et à valider.

L’incapacité à faire confiance à des programmes supposés être de confiance, rend difficile la maitrise des cyberrisques. Cette double problématique de sécurité et de confiance dans les mécanismes de sécurité fait peser une menace systémique sur la confiance et sur sa matérialité.

Ainsi, après les faits alternatifs, il existe désormais une confiance alternative qui dépend de l’incertain et de l’invisible pour les personnes en charge de la gestion de la sécurité informatique, c’est-à-dire de facteurs hors de leur contrôle.

En 2017, suite à des vulnérabilités de produits Microsoft[23] à partir desquelles des programmes malveillants longtemps exploités discrètement par la NSA mais qui ont finis par échapper à leur contrôle[24], permirent au rançongiciel Wanacry de faire la démonstration mondiale de la possibilité et de l’efficacité d’une diffusion de crypto virus pouvant affecter toutes les infrastructures, tous les pays. Depuis ce jeu d’essai concluant, ce genre de cyberattaques (verrouillage par chiffrement des ressources et demandes de rançons) est devenus courant et a révélé toute sa puissance et sa nuisance notamment durant la pandémie de la Covid 19[25].

Désinformation et deep fakes

La désinformation ou la propagande ont toujours existé. Comme la publicité, cela contribue à convaincre, à manipuler, à orienter, à piloter et faire réaliser des actions spécifiques. Avec Internet, ces phénomènes sont faciles à concrétiser de manière massive et rapide mais aussi de manière personnalisée en fonction des cibles et des résultats escomptés.

De vraies-fausses informations ou de fausses-vraies informations circulent et sont amplifiées par les caisses des résonance que constituent les réseaux sociaux.

La réalité virtuelle et les capacités technologiques issues de l’intelligence artificielle pour créer et modifier à l’infini la réalité, permet d’obtenir une réalité parfois plus réelle (et souvent plus belle) que la réalité[26].

Quelles relations de confiance envers la réalité perçue à travers des écrans peut-on développer alors qu’il est difficile, voire impossible, de distinguer le vrai du faux et d’authentifier un contenu et son origine ?

Une logique d’informatisation questionnable

Le manque de sécurité n’est-il pas consubstantiel aux produits et services de l’informatique ?

Les modèles économiques des mises à jour sécuritaires pour combler les vulnérabilités des produits conçus de manière insuffisamment robuste et sécurisée est très rentable et sans fin. Cela est justifié par le besoin réel d’être en sécurité et en confiance, alors que le numérique ne le permet pas par conception. En effet, les choix technologiques, basés sur une rationalité économique, répondent à une politique de développement particulière. Ce n’est pas par hasard que les concepts de « Security by design” et de « Privacy by default » sont rarement instanciés dans des produits.

Apporter des réponses à des défauts de sécurité est bien, mais pas suffisant. Plus il y aura de systèmes, d’objets, d’organisations et des personnes connectés, plus il y aura des problèmes de sécurité. Il s’agit d’un cercle vicieux, il manquera toujours des compétences, des ressources, des solutions de sécurité. Une possibilité de sortir de cet engrenage est de changer de paradigme, et de remettre en cause les modèles d’affaires et de profitabilité du développement du numérique et de la cybersécurité.

Augmenter les contraintes juridiques, les moyens de les faire respecter et les pénalités en cas de non-respect, lutter contre la cybercriminalité et les usages abusifs et détournés, est bien mais toujours pas suffisant. Que des responsabilités soient assignées à tous les acteurs et que ceux-ci les assument en cas de défaillance à la hauteur des risques qu’ils font porter à la société, contribue à une meilleure prise en compte des besoins de qualité, de fiabilité et sécurité. Toutefois, cela ne répondra pas au problème fondamental qui réside dans la réalité de l’économie du numérique basée sur l’exploitation des données, de toutes les données, des traces et des flux numériques. Le respect du droit à la vie privée et à la protection des données personnelles est encore aujourd’hui considéré comme un frein au développement numérique.

Peut-on avoir confiance dans des mesures de protection des données alors que les modèles d’affaires de l’économie numérique sont basés sur l’exploitation des données ?

Lever cette contradiction ontologique, repenser les fondements de l’économie numérique, questionner sa finalité, investir dans la maitrise des risques pour véritablement profiter des opportunités technologiques et faire de l’écologie numérique respectueuse des droits humains devrait contribuer à une société plus résiliante aux cyber nuisances.

Tant que la majorité des solutions de cybersécurité consiste à boucher, les trous d’une casserole conçue comme une passoire, bien que le contexte aurait exigé de disposer d’un récipient sans trous, robuste et fiable ;

Tant qu’il n’y a pas de remise en cause du fait que la casserole a été conçue comme une passoire à trous plus ou moins nombreux et larges (modèle économique du numérique et de la sécurité et vulnérabilités matérielles et logicielles) ;

Tant que la cybersécurité est abordée uniquement sous l’angle de la conquête de marché et de la profitabilité (vendre des rustines de sécurité pour boucher des trous sans pour autant boucher tous les trous), la cybersécurité ne sera pas très efficace. En revanche, le commerce de la cybersécurité, qui s’inscrit dans la durée, est très rentable (besoin constant de toujours plus de rustines, nouvelles rustines et remplacement des plus anciennes, réalisation de rustines de rustines, etc.) ;

Tant que les produits sont commercialisés avec des vulnérabilités ou des portes dérobées;

Alors, il est difficile d’avoir pleinement confiance dans l’écosystème numérique et ses produits. Ainsi, il est plus aisé d’inventer l’ère de la post-confiance.

Penser le contraire que ce que l’on voit, appauvrir les mots et construire des vérités alternatives

Le numérique et la profusion d’initiatives traitant de confiance numérique, contribuent à donner vie au concept de confiance alternative et à l’ère de la post-confiance, à l’instar des concepts de post-vérité et de faits alternatifs inventés par le 45^ème président des États-Unis d’Amérique afin de masquer et de dénaturer la réalité a son propre avantage. Le jeu de dupe consiste alors à truquer le langage et les mots pour accréditer une vérité alternative.

Au regard de la réalité des défauts de sécurité, parler de confiance à l’ère numérique c’est recourir la novlangue pour créer une illusion de confiance, à la manière de George Orwell, qui dans son roman «1984», invente la «novlangue» comme instrument de pouvoir, dont le but est l’anéantissement de la pensée et la destruction de l’idée de vérité afin de rendre le mensonge crédible.

Aujourd’hui, est-il encore possible de désirer développer des mesures de cybersécurité qui permettent de construire la confiance ou est-ce simplement impossible, voir absurde ?

Sans disserter sur l’humain, comme être de raison et de désir, insistons sur le besoin et sur la volonté raisonnable d’être en sécurité et en confiance dans le cyberespace et dans le monde physique qui doivent être satisfaits au risque de voir s’effondrer la société du numérique.

Selon Descartes – “Il vaut mieux changer ses désirs que l’ordre du monde”[27] pour le paraphraser, “Il vaut mieux changer la manière de concevoir le numérique et son économie que d’imposer un nouvel ordre du monde fragilisé par le numérique”.

Est-ce impossible ? Peut-être, mais il n’est pas absurde de désirer l’impossible.

En attendant, imaginons, avec Albert camus, Sisyphe heureux[28].

Notes

[1] https://optimumsecurity.ca/21-biggest-data-breach-of-21-century/

[2] https://www.businessinsider.fr/us/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

[3] Edward Snowden ; « Mémoires vives », Seuil, 2019 (version française du livre « Permanent record », Metropolitan books (Macmillan).

[4] Solange Ghernaouti ; « La cybercriminalité, le visible et l’invisible » ; Collection Le savoir suisse, 2009.

[5] Cédric Durand, « Technoféodalisme, critique de l’économie numérique » ; Zones, 2020.

[6] Shoshana Zuboff « L’Âge du capitalisme de surveillance » ; Zulma, 2019, traduction française de « The age of surveillance capitalism » ; Profile books 2019.

[7] Multiples vulnérabilités dans Microsoft Exchange Server (mars 2021)

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/

Bulletin de sécurité Microsoft du 02 mars 2021 : « On-Premises Exchange Server Vulnerabilities Resource Center » Microsoft Security Response Center, March 2, 2021

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Patch de sécurité concernant les versions 2013, 2016 et 2019 de Microsoft Exchange server Released: March 2021 Exchange Server Security Updates (3 mars 2021)

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

[8] https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

[9] Multiples vulnérabilités dans Intel CSME, Intel SPS, Intel TXE, Intel DAL et Intel AMT 2019.1 QSR

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-210/

[10] Load Value Injection, CVE-2020-0551

https://businessresources.bitdefender.com/hubfs/Bitdefender_Whitepaper_LVI-LFB_EN.pdf

[11] A titre d’exemple de produits concernés :

https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/

[12] SSL 3.0 Protocol Vulnerability and POODLE Attack

https://us-cert.cisa.gov/ncas/alerts/TA14-290A

“Heartbleed” OpenSSL Vulnerability

https://us-cert.cisa.gov/sites/default/files/publications/Heartbleed%20OpenSSL%20Vulnerability.pdf

[13] https://www.kaspersky.fr/about/press-releases/2019_operation-shadowhammer-new-supply-chain-attack

[14] Porte dérobée Kinkslayer

https://www.rsa.com/en-us/blog/2017-02/kingslayer-a-supply-chain-attack

[15] https://www.reuters.com/article/us-usa-cyber-treasury-exclusive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG

https://www.sans.org/blog/what-you-need-to-know-about-the-solarwinds-supply-chain-attack/

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

[16] https://thehackernews.com/2018/04/ccleaner-malware-attack.html

[17] Rançongiciels et cyberattaques : comment ça marche? https://www.youtube.com/watch?v=PbQe5gyY-Vw

[18] https://www.lemonde.fr/pixels/article/2020/05/04/vingt-ans-apres-le-createur-du-virus-informatique-i-love-you-temoigne_6038636_4408996.html

[19] https://attack.mitre.org/software/S0089/

[20] https://www.kaspersky.fr/resource-center/threats/blackenergy

[21] https://www.zdnet.com/article/open-source-spyware-makes-it-on-the-google-play-store/

[22] https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/

23] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144

[24] https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[25] https://www.europol.europa.eu/activities-services/staying-safe-during-covid-19-what-you-need-to-know

[26] https://www.rts.ch/info/culture/12033222-pourquoi-les-videos-deepfake-de-tom-cruise-sontelles-si-flippantes.html

[27] René Descartes, « Discours de la méthode », 1637.

[28] Albert Camus, « Le mythe de Sisyphe », Gallimard, 1942.

Pandémie et Cyber: Faire face

2 janvier 20213 janvier 2021 Solange Ghernaouti 10 commentaires

Un aperçu de la réalité

Télétravail

Le télétravail recommandé pour contribuer à lutter contre la pandémie, n’a fait que stimuler l’ingéniosité des criminels et qu’augmenter le nombre et l’attractivité des systèmes connectés et des flux échangés.

Les cybercriminels s’adaptent à l’évolution des opportunités et les saisissent avec une redoutable efficacité, agilité et réactivité. Ils savent rentabiliser leurs actions, qu’elles soient orientées recherche de profit ou motivées par des finalités de déstabilisation économique ou politique. Leurs cibles peuvent être autant des individus que des organisations publiques ou privées, leur terrain de jeu est mondial.

S’il est possible de connaitre la nature des cybercrimes rapportés aux instances de justice et police, il est plus difficile, voire impossible d’obtenir une cartographie exhaustive de la réalité de la cybermalveillance. En 2020, comme lors des années précédentes, les systèmes d’information des organisations ont fait l’objet d’attaques essentiellement liées à l’exploitation de leurs vulnérabilités, à des logiciels malveillants comme des rançongiciels par exemple. Les attaques en déni de service, l’usurpation de paramètres de connexion et de comptes, la compromission de systèmes de messagerie, l’ingénierie sociale ont encore été au service d’une criminalité essentiellement économique.

Recrudescence de cyberattaques

Toutefois, la recrudescence des cyberattaques ciblant par des systèmes liés à la santé (sites hospitaliers, centres de recherche, laboratoires pharmaceutiques, …) marque un virage dans la perception de la motivation des acteurs impliqués. Au-delà du gain économique potentiel que pourraient procurer des cyberattaques sur des infrastructures de santé, elles questionnent sur leurs capacités de déstabilisation et leur finalité qui pourrait relever du terrorisme, lorsqu’elles mettent en danger la vie.

Les enfants ne sont pas épargnés

Même s’il en est moins question dans les médias, il ressort des rapports d’Interpol[1] et d’Europol[2] que les périodes de confinement ont donné lieu à une augmentation des activités liées à l’exploitation sexuelle des enfants en ligne. La commercialisation de contenus d’abus sexuels de nourrissons et d’enfants a largement été observée. Un cybercrime n’est jamais virtuel. En matière de cyberpédophilie, seule leur représentation est dématérialisée et ce sont bien de vraies victimes qui sont abusées et dont la vie est détruite. Le contexte de la pandémie a également profité à ceux savent tirer parti des réseaux dits sociaux comme caisse de résonnance pour amplifier des actions de manipulation d’information, de rumeurs, de fausses informations, ou de contre-vérités en lien avec la Covid. De véritables campagnes de désinformation et de manipulation de l’opinion se sont déroulées au travers d’Internet, avec des niveaux d’impacts variables. À l’inverse, dans certains pays, ce sont des journalistes et des lanceurs d’alertes qui ont été condamnés par les autorités des pays dont ils sont les ressortissants pour avoir tenté d’informer, d’attirer l’attention sur la gravité de la situation et avoir osé proposer des récits de la pandémie différents des récits officiels.

Internet est un vecteur amplificateur et de globalisation de la criminalité.

Le risque informatique d’origine criminelle est ainsi devenu un risque structurel dont le coût est porté par la société. Pour autant, disposons-nous des mesures de lutte contre la cybercriminalité suffisantes ?

Mettre un frein à l’impunité des cybercriminels

Même s’il est regrettable que tous les cybercrimes rapportés ne fassent pas l’objet d’investigation, retenons toutefois, pour n’en citer qu’un, le succès de la coopération des forces de l’ordre advenu en 2020, concernant la France, la Suisse, l’Allemagne, les Pays-Bas et les Etats-Unis. Celui lié au démantèlement d’une infrastructure (Safe-Inet) au service de la cybercriminalité, active depuis une dizaine d’années[3]. Par le recours à des services de réseau privé virtuel, les acteurs criminels qui y recourraient pouvaient agir sans craintes d’être identifiés et en toute impunité. Ce qui contribue largement à la performance et à l’augmentation de la cybercriminalité et de facto, à l’accroissement du nombre de victimes. Élever la prise de risque pour les criminels d’être poursuivis et intensifier le nombre de barrières à la réalisation de l’action criminelle, passent par des mesures de cybersécurité et des moyens de lutte contre la cybercriminalité. Si ce succès des forces de l’ordre est appréciable, combien de plaintes sont restées sans suite et combien d’investigations n’ont jamais été entreprises ou ont abouties?

La cybersécurité, une réponse partielle et incomplète

La cybersécurité est avant tout une affaire de gestion des risques, d’anticipation et de réactivité. Elle s’intègre dans une culture de maitrise intégrée de risques complexes. Elle s’appuie sur des mesures adaptées de sécurité, des compétences humaines et des capacités particulières qui doivent exister et être entrainées. Cela se construit dans un temps long, en amont de la survenue des problèmes, or le travail à domicile a été mis en place dans l’urgence, sans forcément prioriser et apporter des réponses convaincantes aux besoins de cybersécurité requis au regard des risques encourus. Les PMEs notamment mais pas seulement, sont alors devenues encore plus exposées et vulnérables lors de la crise sanitaire. En revanche, les entreprises, qui autorisaient déjà le télétravail ou étaient habituées au travail à distance ou qui avaient d’employés nomades, étaient en principe mieux préparées aux cyber risques que celles qui ont dû passer au télétravail dans la précipitation.

En matière de cybersécurité, l’ouverture des systèmes, la connectivité permanente et la facilité d’usage d’outils grands publics et souvent gratuits ne riment pas avec un niveau de sécurité de qualité. Il est avéré que les logiciels gratuits, y compris ceux utilisés pour réaliser des visioconférences, n’offrent pas un niveau raisonnable de sécurité mais il est désormais impossible d’ignorer qu’ils exploitent les données livrées par les des utilisateurs et celles collectées à leur insu.

Pour autant, sommes-nous suffisamment conscients des conséquences des actions d’intelligence économique, d’espionnage et de surveillance, que les pratiques numériques non sécurisées et que la perte de la maitrise des données autorisent ?

Ce que la crise du Covid nous apprend en matière de gestion des risques

Une posture de sécurité

Être en sécurité, consiste généralement à fermer des environnements, à réaliser des périmètres de sécurité, cela demande le plus souvent de restreindre des activités et de renoncer à des pratiques qui ne sont pas suffisamment bien et correctement sécurisées. Pour se protéger en cas pandémie liée à un virus biologique, il y a le confinement, le port du masque, l’adoption des comportements et des mesures d’hygiène. Lutter contre la propagation de virus informatiques (programmes malveillants, rançongiciels,…) et la réalisation de cyberattaques, nécessite de disposer d’une politique de sécurité, de mesures d’hygiène et de cybersécurité efficaces et de les accompagner de campagnes de sensibilisation et de pratiques cohérentes du numérique.

Jouer aux cyberpompiers, n’est pas suffisant

Encore aujourd’hui, en matière de cybersécurité, nous agissons en « pompiers », nous intervenons après une cyberattaque (lorsqu’elle est détectée), après un incident ou un sinistre informatique, souvent dans l’urgence (à condition de disposer des équipements nécessaires à éteindre l’incendie).

Être réactif, c’est bien, mais pas suffisant au regard des conséquences désastreuses que peuvent entrainer des cyberattaques. Il est impératif de pouvoir être plus proactif et de tout mettre en œuvre pour prévenir la concrétisation de menaces. En aucun cas, réaliser des activités sur Internet doit être synonyme d’accepter de devenir une cible de la cybercriminalité et l’objet de pratiques abusives du numérique par ceux qui le maitrisent et fournissent des services devenus de plus en plus incontournables.

De l’élevage en batterie, aux risques Cyber

L’élevage en batterie, la concentration des êtres et des risques, c’est ce qu nous donne également à observer la pandémie actuelle. Elle nous offre un mirroir de notre réalité informatique avec la concentration des données et des traitements par des acteurs hégémoniques et des grandes plateformes numériques. Le réseau Internet ne contribue plus comme à son origine à distribuer les traitements et donc à répartir les risques. Le paradigme des fournisseurs de plateformes et celui de l’informatique en nuage, ont réinventé la concentration et la centralisation. Ce qui rend entre autre possible, le vol massif des données et le piratage à grande échelle de comptes utilisateurs.

Crise sanitaire, crise d’envie d’avenir ou crise de l’anticipation ?

Besoins de ressources

Pour faire face à une crise de grande ampleur, de grande intensité et qui en plus s’incrit dans la durée, il faut y être préapré. Anticiper et prévoir un évènement, une situation ou une crise et ses conséquences, demande une posture, une volonté politique et des investissements. En sécurité comme en santé, pour gérer une crise il faut des « réserves » qui ne servent qu’en cas de crise (et qui coûtent « pour rien » le reste du temps). Ce qui est souvent considéré comme un frein à la performance et à la rentabilité économique des organisations. Les ressources nécessaires en cas de crise sont alors souvent insuffisantes, voire inexistantes, il en est de même en cybersécurité.

Gérer le risque, mais jusqu’où prévoir le pire ?

Au-delà de la crise sanitaire actuelle, sommes-nous préparés à faire face par exemple à un accident nucléaire majeur en Europe ? Disposons-nous de masques, compteurs, détecteurs, pastilles d’iode, ou encore par exemples, de capacités d’alimentation avec des produits non contaminés ? Qui aujourd’hui est en mesure d’anticiper et d’appréhender les risques complexes et interdépendants portant notamment sur les infrastructures relatives à l’alimentation électrique, dont dépendent totalement les systèmes et réseaux informatiques, qui pourraient être mise en danger par un tel accident et compromettre l’ensemble des services informatiques ?

Pouvons-nous, aujourd’hui et demain faire face à des cyberattaques de grande ampleur et intensité sur les infrastructures critiques et sur les chaînes d’approvisionnement ? Sommes-nous en mesure de maitriser des crises systémiques ? Quid d’une double crise liée à une pandémie biologique et à cyberpandémie ?

Le numérique peut contribuer à résoudre une partie du problème lié à la pandémie. Toutefois, en optant pour toujours plus d’informatisation et de cyberdépendance, avec des services et des infrastructures numériques vulnérables aux cyberattaques, l’économie et la société deviennent plus fragilisées. Sommes-nous capables d’anticiper les conséquences des impacts de la perte de la maitrise des infrastructures numériques vitales au bon fonctionnement du pays ? Ne sommes-nous pas collectivement et individuellement leurrés par le solutionnisme technologique?

Faire de la gestion de crise consiste à assurer en amont de la crise, d’être en mesure de disposer d’une organisation, des compétences, et des ressources nécessaires pour y remédier. Ce qui se traduit dans un monde hyperconnecté et interdépendant à devoir être suffisamment autonome, indépendant et souverain.

Sommes-nous en situation d’autosuffisance numérique ?

Pouvons-nous être en situation de cybersouveraineté ?

Faire face, une imminence urgente

Transition numérique ou fuite en avant technologique?

La pandémie est un accélerateur de la transition numérique déjà orchestrée et une justification de plus conduisant à la dématérialisant des activités. Il s’ensuit pour les protagonistes, une perte de contrôle de celles-ci (accompagnée généralement par une perte de sens) au profit des intermédiaires technologiques. De manière concomitante, la dématérialisation contribue à développer les applications d’analyse massive des données, le marché de l’intelligence artificielle, le surveillance, informatique généralisé (controlling) et l’économie de la surveillance.

Le monde d’après et notre rapport à la technologie

Ne serait-il pas temps de saisir le formidable élan “d’ouverture des yeux” que la pandémie à engendré pour aiguiser notre vision sur les vulnérabilités et les risques liés au numérique? Outre le nouvel ordre du monde et l’organisation algorithmique de la société instaurés, non maitrisés les risques Cyber sont des facteurs de déclin de la civilisation. Ils constituent d’ors et déjà une menace pour l’environnement, le vivant et l’humanité. Est-ce cela, que nous souhaitons laisser en héritage à nos enfants?

Ne serait-il pas temps de considérer notre asservissement au numérique et à ces multinationales emblématiques, pour remettre en question d’une part, notre servitude volontaire à les rendre toujours plus puissantes et d’autre part, notre docilité voire, notre soumission aux injonctions électroniques?

Ne serait-il pas temps tout simplement de résister, c’est à dire, comme le souligne l’origine latine du verbe, de faire face, de se tenir en faisant face?

Au-delà de savoir pourquoi et comment nous en sommes arrivés là, profitons de cette envie de comprendre pour avoir envie d’un avenir numérique différent et d’agir en conséquence.

Peut être que cela nécessitera de passer par une certaine désobéissance numérique, du moins, tant que celle-ci sera possible.

Cette menace est bien réelle et lorsque l’imminent renvoie à l’origine du terme “menacer”, il y a urgence à la prendre en considération.

[1] https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-highlights-impact-of-COVID-19-on-child-sexual-abuse

[2] https://www.europol.europa.eu/covid-19/covid-19-child-sexual-exploitation

[3] https://www.europol.europa.eu/newsroom/news/cybercriminals’-favourite-vpn-taken-down-in-global-action

Le Père Noël Cybernaute

13 décembre 2020 Solange Ghernaouti 4 commentaires

Fable de l’ère numérique écrite en décembre 1994, publiée dans le bulletin HEC n°47 de février 1995 et retrouvée ce jour. La voici sans retouche, entre souvenir et prospective, toujours d’actualité 26 ans plus tard…

24 Décembre 1994, il neige, tout est calme autour de la gentille maisonnette, de la gentille petite ville où habite Jérémie.

A l’intérieur, un sapin brille de toute sa parure de fête et Jérémie attend le passage du Père Noël auprès de son ordinateur. Ce dernier a lui aussi revêtu ses bellures qui brillent de toutes ses icônes et fenêtres colorées, sur un écran qui parfois ressemble à un aquarium.

Windows, Mosaic, Netscape et les autres sont là pour Jérémie, rien que pour lui, pour ne plus être seul.

Lui que ses parents ont laissé cette veille de Noël pour aller réveillonner chez des amis.

Alors Jérémie, plutôt que de jouer les légumes devant le petit écran a décidé de sortir, d’aller se balader et de découvrir le monde.

Son monde à lui c’est Internet, son net. Il l’a créé de toute pièce à partir d’Eliot, d’Ursule, Ulys, et de toutes ces autres machines qui portent des noms de copains, qu’il n’a qu’à nommer pour qu’elles lui répondent et lui offrent des services comme Pégasus, le cheval ailé qui fait rêver Jérémie. Tout comme Gopher d’ailleurs.

Après quelques clics de souris, le voilà connecté.

Il peut alors communiquer avec des millions de personnes réparties sur la terre entière. Une toile d’araignée géante, sorte de super filet maillé constitué de tuyauterie et d’ordinateurs, les relie.

Jérémie s’invente des vies au gré de ses humeurs.

Un jour, il est archéologue.

Par le biais d’une base de données et grâce à la réalité virtuelle, il pénètre des sites archéologiques qu’il explore. Il y est, il voit tout, s’y promène. Il s’imagine alors déchiffrer les énigmes du passé.

Un autre jour il est zoologue ou gardien du Musée du Vatican, constructeur automobile, ou encore journaliste, il envoie des messages aux industriels et chercheurs du monde entier et même au président des États-Unis.

En revanche, l’encyclopédie Universalis ce n’est pas pour lui. Il a horreur de consulter un dictionnaire, alors pensez donc une encyclopédie, même électronique c’est une crise d’urticaire assurée.

Non, il préfère demander ce qu’il ne sait pas et est curieux de connaître à “ses amis” des forums, lieux de rencontre magiques ou l’on se dit tout.

Bientôt, il espère qu’il n’aura plus besoin d’aller à l’école et qu’un professeur électronique se substituera à ses maîtres.

Ce soir, Jérémie se prend pour le Père Noël.

Il se ballade de magasins virtuels en magasins virtuels, fait fi des heures d’ouverture, consulte de superbes catalogues, choisis des cadeaux qu’il désirerait offrir ou recevoir, passe sa commande et la valide en donnant le numéro de la carte de crédit de sa mère ainsi que les adresses de livraison.

Plutôt que de passer par les cheminées, Jérémie préfère manifester sa présence parmi les innombrables foyer Internet, en délivrant un message électronique de paix et d’amour dans toutes les boîtes aux lettres du réseau.

Arrêtons là cette fable sur fond de solitude, avant qu’elle ne dégénère en scénario catastrophe, tels que:

– La surcharge du réseau engendrer par une profusion, à l’échelle internationale de messages bien intentionnés ou non (virus), entraînant des dysfonctionnements plus ou moins importants, voire la paralysie totale du réseau et des systèmes interconnectés ;

– La gêne occasionnée par la réception de messages de n’importe qui, dont on a strictement rien à faire (encombrement des boites aux lettres, lecture, tri des messages pertinents, etc.) ;

– Le préjudice subi par la divulgation et la diffusion d’informations confidentielles, accédées souvent, par des “bidouilleurs de P.C.”, qui avec un esprit ludique, patience et ruse arrivent à pénétrer des systèmes plus ou moins bien protégés ;

– Les conséquences liées au fait que tout un chacun peut créer des serveurs, diffuser n’importe quelle information (vraie ou fausse). Quel bonheur pour les pouvoirs totalitaires de pouvoir disposer d’un tel outil de communication et remarquons également qu’environ la moitié du trafic actuel sur Internet est consacré au transport de photos dites “de charme”.

Non, je ne jouerais pas les troubles fêtes en insistant sur les aspects négatifs ou en invoquant des effets secondaires pervers d’Internet, dont on appréhendera les conséquences dans un avenir plus ou moins proche.

Des bénéfices réels et immédiats sont à tirer de la numérisation de l’information. Et c’est cela, la véritable révolution d’Internet, la dématérialisation, et non pas le réseau lui même (il a plus de vingt ans). Bien que cela soit seulement maintenant, que le grand public le découvre à grand renfort de médiatisation et d’outils de sensibilisation.

Mais surtout, n’oublions pas que l’outil de communication ne vaut jamais mieux que celui qui communique, l’utilisateur méchant communique méchamment, le violent violemment, le faible faiblement, le bête bêtement, … et que pour véritablement communiquer il faut être au moins deux, deux êtres.

Priorité à la défense du vivant et des territoires numériques

26 août 2020 Solange Ghernaouti 6 commentaires

Au sujet du cyberespace

Le cyberespace est à la fois, un lieu d’expression de pouvoir des individus, des organisations et des États et un théâtre de diverses formes de conflictualité. Conflits personnels, politiques, économiques, idéologiques ou militaires se déroulent désormais au travers des infrastructures numériques. À la conquête des territoires géographiques s’est superposée celle des territoires numériques, des données, de leur traitement, de leur stockage et de leur transmission. Cette conquête s’étend de la maîtrise des infrastructures informatiques et de télécommunication, à celle des informations, en passant par le contrôle des services et applications et des utilisateurs.

Une question de pouvoir, de puissance et de vision de société

Les pouvoirs politiques, militaires et économiques d’un État sont liés à sa capacité à contrôler l’écosystème numérique dont il est devenu dépendant. Or, tous les éléments constitutifs du cyberespace sont à la fois des moyens de domination et des cibles à attaquer.

Internet peut être instrumentalisé pour infliger des dégâts à l’ennemi sans combattre physiquement, sans l’envahir géographiquement, mais en réduisant son pouvoir dans les domaines économique, scientifique ou culturel. Provoquer l’effondrement d’un pays par des moyens numériques ou des sabotages est plus efficace que de le faire par des actions de guerre traditionnelle.

Les risques de destruction de l’écosystème politique, humain, économique, social et culturel d’un pays, par les technologies issues de la convergence des nanotechnologies, des biotechnologies, de l’informatique et des sciences cognitives, sont réels.

Aucun pays n’est à l’abri de cyber actions visant à lui nuire. Toutefois, la force de frappe technologique n’est maîtrisée que par un petit nombre d’États, quelques mercenaires et par une poignée de grands acteurs privés dont la localisation géographique est elle aussi, très concentrée.

Pour un État, sa puissance s’exprime aujourd’hui par sa capacité à :

S’approprier, protéger et défendre un espace numérique interconnecté (maîtrise de l’infrastructure matérielle, logicielle et de télécommunication, maitrise des données et de l’intelligence artificielle),
Disposer d’une sphère d’influence informationnelle dans le cyberespace (maîtrise de l’information, de son traitement et du renseignement) ;
Posséder les moyens suffisants pour maîtriser les cyber risques (maîtrise de la cybersécurité et de la cyber résilience, maîtrise de la gestion des cyber crises et de la cyberdéfense) ;
Être un acteur respecté de la cyberguerre (maitrise de l’informatique offensive et défensive).

Comment agir pour une cyber paix alors que la seule option possible semble être, pour un pays, celle de l’accroisssement de ses moyens de cyberdéfense ?

De ce fait, chaque pays doit, dans sa posture de sécurité globale, intégrer une stratégie et des mesures opératives lui permettant non seulement de développer la robustesse et la résilience de ses infrastructures numériques, mais aussi de pouvoir démontrer ses capacités de cyberdéfense et de cyber dissuasion.

Si l’investissement en matière de cyberdéfense apparait aujourd’hui fondamental, il n’est pas moins nécessaire d’initier un cercle vertueux pour que les technologies du numérique soient réellement au service du vivant et non un instrument d’expression de pouvoir, dans une course à l’armement technologique infinie, ou un moyen de concentration des richesses et d’exploitation sans limites de la nature.

Cyber actions et cyber réactions

Pouvoir assurer et maintenir un niveau de cybersécurité efficace des infrastructures numériques et des réseaux de télécommunication et pouvoir, le cas échéant, répondre à des cyberattaques d’envergure est important. L’approche de « sécurité et défense » du patrimoine numérique et des infrastructures vitales nécessaires au bon fonctionnement du pays, nécessite une bonne capacité d’anticipation et de maîtrise de l’information stratégique. Cela passe par un contrôle approprié des processus d’information, désinformation, de renseignement et d’intelligence. D’où l’importance d’un savoir-faire certain en matière de technologies et de sécurité de l’information.

Tout ceci, suppose une organisation, une stratégie cohérente basées sur des scenarii de risques crédibles, une politique de sécurité adaptée, une préparation, des outils, des compétences, des processus mais aussi des entrainements et des exercices de simulation de gestion de crises et de réaction à des cyberattaques.

Se préparer à faire face à des cyber malveillances, voire à des cyber guerres, suppose en amont, de savoir éviter ou savoir appréhender correctement des cas de cyber pannes et de cyber dysfonctionnements d’origine non intentionnelle, engendrés par des accidents ou des défauts de conception, de mise en œuvre, de gestion ou d’usage des infrastructures numériques.

Défi civilisationnel et politique de sécurité

En matière de cyber risques, il ne s’agit pas uniquement de savoir gérer l’incertain et le probable, il s’agit d’être efficace dans la protection et la défense des territoires numériques. Cela passe par une démarcation de la posture qui rend un pays toujours plus fragile et plus dépendant des infrastructures, fournisseurs et chaines approvisionnement du numérique.

Aucune organisation, aucun pays, ne peut faire l’impasse d’une réflexion approfondie sur la manière dont sa dépendance au numérique engendre de nouveaux risques. Comme tous les autres pays, la Suisse, pour répondre à ce défi civilisationnel, doit, entre autre, être une championne de l’analyse prospective, se doit de disposer d’une politique de sécurité adaptée et d’accorder suffisamment de ressources pour se protéger des menaces et des risques d’aujourd’hui et de demain. En ne se focalisant pas sur les risques d’hier, il est possible de déterminer les moyens de sécurité et de défense nécessaires et d’investir au mieux, pour que demain soit différent mais en mieux. Penser à l’avenir, ne se résume pas à remplacer du vieux matériel par du nouveau.

SwissCovid ou GAFAMCovid ?

6 juin 2020 Solange Ghernaouti 89 commentaires

Dans la mesure ou SwissCovid :

N’est pas Open Source.
Le code source est chez Microsoft (GitHub).
Le protocole est contrôlé par Apple et Google.
Certains serveurs SwissCovid sont chez Amazon.

Pourquoi le dispositif SwissCovid ne s’appellerait-il pas GAFAMCovid ?

Des usages abusifs et détournés sont possibles comme l’est d’ailleurs l’identification des personnes dont l’identité est supposée être anonyme.

SwissCovid pose des problèmes de souveraineté, de transparence, de sécurité et de protection des données et d’intimité numérique (privacy).

Les risques associés, tant pour le pays, que pour les organisations et les individus, ne sont pas maitrisés.

L’information communiquée au public est jusqu’à présent incomplète voire inappropriée, pour qu’un consentement libre et éclairé puisse s’exprimer.

SwissCovid, consentement éclairé et responsabilité politique

1 juin 20201 juin 2020 Solange Ghernaouti 16 commentaires

En tant que citoyenne confrontée comme tout un chacun à la pandémie, le dispositif de traçage des contacts SwissCovid m’interpelle. En tant que professionnelle de la cybersécurité, j’ai le devoir d’attirer l’attention des parlementaires sur vingt questions essentielles que pose l’élaboration d’une loi concernant l’introduction de Swiss-covid . Ces questions, brièvement motivées, sont les suivantes:

(Pour une meilleure lisibilité de l’article, quelques termes techniques suivis d’* sont proposés à la fin de celui-ci).

Selon le document « Utilisation de l’application SwissCovid durant l’essai pilote : déclaration de confidentialité de l’Office fédéral de la santé publique ^[1] », le dispositif SwissCovid est composé de l’App* qui appelle la réalisation de services réalisés par l’API* d’Apple/Google et d’un serveur VA backend et d’un serveur pour gérer des codes entre l’App et le serveur VA backend (frontend / backend).

Dans ce document, émis conjointement par le Département fédéral de l’intérieur (DFI) et l’Office fédéral de la santé publique on lit « Si l’OFSP mandate des tiers, suisses ou de l’étranger, ces opérateurs s’engagent à respecter les prescriptions de l’ordonnance COVID-19 sur l’essai pilote du traçage de proximité. » (point 4, page 2).

Question 1

Quelles sont ces tierces parties engagées qui peuvent être suisses ou étrangères ?

Le préfixe « Swiss » laisse penser que le dispositif SwissCovid est développé en Suisse et est basé sur des infrastructures suisses. Toutefois, dans la mesure où « SwissCovid » est basée sur l’API – Exposure notification de Apple-Google et dans la mesure où celle-ci réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque), cela laisse très peu d’initiative aux développeurs et initiateurs suisses du projet.

Question 2

Qui développe quoi ?

Question 3

Comment bâtir la confiance dans un code informatique développé, mis en œuvre et géré par Apple/Google alors qu’il est impossible de le faire tester ou auditer par des entités indépendantes ?

Ces premières questions en soulèvent d’autres, légitimées par le point 6 du document de l’OFS cité plus haut (page 3) « Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFSP, en étroite collaboration avec nos fournisseurs d’hébergement internes et externes et avec d’autres prestataires informatiques, prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, pseudonymisation, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle ( p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l’administration fédérale et de la législation fédérale en matière de protection des données. ».

Question 4

De quels fournisseurs et prestataires s’agit-il, quels sont les sous-traitants ?

Question 5

Est-ce que les données sont hébergées dans un cloud Amazon ?

Question 6

Quels appels d’offre ont été émis concernant les organisations et entreprises privées qui développent SwissCovid?

Question 7

Est-ce que le dispositif SwissCovid est complètement Open source ?

Le message du 20 mai 2020 du Conseil fédéral concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité)^[2] stipule en point 4 « Commentaires des dispositions. Art. 60a Système de traçage de proximité pour le coronavirus : … « Dans un souci de transparence et de confiance, le code source sous-jacent et les spécifications techniques utilisées pour tous les composants sont publics » (art. 60a, al. 4, let. e).

Pour qu’un programme soit qualifié d’« Open source », il faut:

que le code source soit disponible ;
que l’on puisse vérifier que l’exécutable correspond au code source* ;
que l’on puisse modifier le code, le compiler* et l’exécuter.

Question 8

Dans la mesure où le dispositif SwissCovid ne satisfait pas à ces trois impératifs, y-aurait-il une contradiction entre la réalité et les déclarations ?

Le document du 20 mai 2020 de la Confédération « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité) » fait référence à une application d’alerte Corona.

Question 9

Est-il prévu que ce dispositif soit utilisé pour d’autres épidémies que celle liée au SARS-CoV-2 à l’origine de la Covid-19 ?

La technologie Bluetooth comporte des vulnérabilités et des failles de sécurité ^[3], il est conseillé d’installer des nouvelles versions de sécurité et de toujours désactiver le Bluetooth lorsque l’usager n’en a pas besoin. De plus, il existe des attaques bien connues qui exploitent Bluetooth comme par exemple :

Captation, interception par un tiers non autorisé des messages transmis sur l’interface Bluetooth.
Insertion, suppression de messages par un tiers.
Observation des signaux (écoute, espionnage).
Interruption de la connectivité (déni de service).
Prise de contrôle à distance.

Question 10

Est-ce que le dispositif SwissCovid pourra être détourné de sa finalité ?

Question 11

Est-ce que le dispositif SwissCovid pourra subir des cyberattaques ?

Question 12

Est-ce que l’anonymat des personnes est toujours garanti ?

Le document « Application SwissCovid : conditions d’utilisation »^[4], nous informe sous le point 4 « Devoir de diligence de l’utilisateur » que :

« 4.1 L’accès technique à l’application relève de la responsabilité de l’utilisateur.

4.2 Les utilisateurs sont tenus de prendre les mesures de sécurité nécessaires pour leur propre appareil et de le protéger contre l’accès non autorisé de tiers et contre les logiciels malveillants.

L’utilisateur est informé par la présente des risques de sécurité liés à l’utilisation d’Internet et des technologies de l’Internet. ».

Question 13

Puisque l’utilisateur engage sa responsabilité, est-ce que les mesures de sécurité nécessaires pour que l’utilisateur puisse se protéger des malveillances et des vulnérabilités inhérentes au dispositif, sont disponibles et à quel prix?

Question 14

Est-ce que les seules mesures de sécurité efficaces sont de ne pas installer l’App et de ne pas utiliser le dispositif ?

Dans le document « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité), du 20 mai 2020 [5], le point 5.1 « Conséquences pour la Confédération, conséquences financières » stipule « Les coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux sont estimés à un montant unique de 1,65 million de francs. Les frais d’exploitation par tranche de 12 mois s’élèvent à environ 1,2 million de francs d’ici à la fin juin 2022. Les coûts des mesures d’accompagnement communicationnelles sont estimés à 1,95 million de francs, dont environ 80 % seront utilisés pour la diffusion et la publication d’annonces, de spots télévisés et des bannières électroniques. »

Question 15

Quels sont les coûts directs et indirects réellement supportés par les finances publiques du dispositif SwissCovid et la population ?

Question 16

De quels frais d’exploitation s’agit-il ?

Question 17

N’est-il pas étonnant que les coûts des mesures d’accompagnement communicationnelles (1,95 million) soient supérieurs aux coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux (1,65 million) ?

Dans la mesure ou SwissCovid est considéré comme étant un appareil médical puisque destiné à informer une personne d’un risque d’infection), ce dispositif est soumis à la règlementation et au contrôle de Swissmedic. Cela implique selon l’Article 21 de l’ Ordonnance sur les dispositifs médicaux (ODim)[6] entre autre, “1 La publicité pour les dispositifs médicaux destinés à la remise directe au public ou à l’utilisation directe par le public doit se limiter exclusivement à des allégations correspondant à l’information sur le produit en ce qui concerne son utilisation, ses performances et son efficacité. 2 Toute information trompeuse concernant l’efficacité ou les performances d’un dispositif médical est interdite. »

Question 18

Qui est en charge de s’assurer que les mesures d’accompagnement communicationnelles seront conformes à l’Ordonnance sur les dispositifs médicaux ?

Question 19

Quelles sont les entités indépendantes et sans conflit d’intérêt, en mesure de valider la robustesse, la fiabilité, la sûreté, la sécurité et la conformité réglementaire du dispositif SwissCovid dans son intégralité ?

Apporter des réponses convaincantes à ces questions, qui ne sont pas traitées dans le document « Application SwissCovid : Questions & Réponses »[7] est impératif et urgent.

Question 20

Comment, sans réponses aux questions précédentes, une personne pourrait-elle être un citoyen responsable, un acteur éclairé qui ne répondrait pas uniquement à des injonctions de faire, qui pourrait exprimer son libre arbitre, qui pourrait choisir d’utiliser ou non SwissCovid et qui éventuellement ne se sentirait pas coupable de ne pas consentir à un dispositif dont les principales garanties d’innocuité sont exclusivement déclaratives ?

La démocratie repose sur la confiance, non sur la crainte, et la confiance exige la transparence.

Sans réponses aux questions précédentes, comment le Parlement pourrait-il sérieusement élaborer une loi qu’il a lui-même jugée indispensable ?

Seule une information claire et la plus complète possible, peut contribuer à satisfaire les besoins de transparence et de confiance exprimés par les porteurs du projet SwissCovid.

Cela permet une prise de décision en toute connaissance de cause, dont dépend le consentement éclairé de chacun et dont dépendent également in fine la santé, la sécurité et la liberté de tous.

Hic et Nunc, ici et maintenant, des réponses, pour nous, pour la démocratie, avant toute décision, après il sera trop tard.

***

Quelques informations techniques

Une API (Application Programming Interface) est un programme informatique qui permet d’être appellé par un autre programme.
L’API – Exposure notification utilisée par SwissCovid est un programme développé par Apple et Google qui prend en charge et qui réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque).
L’App (l’application) est la partie d’interface d’accès, c-à-d. le programme qui appelle le programme d’Apple/Google API – Exposure notification.
L’App est installée dans le téléphone de l’
Compiler un programme est une des étapes (la compilation) de transformation d’un programme informatique écrit avec un langage de programmation (suite d’instructions – code source), vers un code exécutable par un ordinateur.
Un langage de programmation est nécessaire à l’humain qui ne peut pas s’exprimer directement en binaire qui est le seul langage manipulable par les processeurs informatiques.

***

^[1]https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (version du 13 mai 2020, publiée le 22 mai 2020)

^[2] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf

^[3]Voir par exemples : https://www.zdnet.fr/actualites/android-une-faille-de-securite-sur-le-bluetooth-39898723.htm ou encore « The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks »: https://github.com/mailinneberg/BlueBorne « Une nouvelle faille critique touche le Bluetooth sur Android. Si Google a déjà publié un correctif, tous les smartphones n’ont pas encore reçu la mise à jour. Les spécialistes conseillent de désactiver temporairement le Bluetooth ». 10 février 2020 https://www.frandroid.com/android/673314_android-une-faille-de-securite-critique-touche-le-bluetooth

^[4] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (document du 13 mai 2020, 22 mai 2020). La validité de ce document pris en vertu de l’Ordonnance COVID-19 essai pilote traçage de proximité est limitée à la date du 30 juin 2020. Il faudra donc rester très vigilant sur les conditions d’utilisation de l’Application de traçage dans sa prochaine phase lorsqu’elle sera proposée au grand public.

[5] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf

[6] https://www.admin.ch/opc/fr/classified-compilation/19995459/index.html#a21

[7] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (Questions fréquentes, Dernière modification 23.05.2020)

Covid ou la fabrique du consentement aveugle

14 avril 202015 avril 2020 Solange Ghernaouti 18 commentaires

Le marketing du consentement à se laisser surveiller informatiquement est en plein essor. Il s’est affiné depuis l’introduction de la téléphonie et des cartes de paiement, qui permettent d’écouter, de surveiller des comportements et de les reconstituer a posteriori. Tous les outils de communication, les transactions en ligne ou les services personnalisés renforcent les capacités de surveillances des individus via leurs pratiques numériques.

Les réseaux sociaux sont les principaux fossoyeurs de l’intimité numérique (privacy). Ces plates-formes ont été introduites sans explication claire de leur mode réel de fonctionnement. Elles n’ont pas détaillé les termes de l’échange qu’elles proposent entre la gratuité et l’exploitation des données. Elles ont été conçues et sont encore développées pour maximiser leur expansion et leur temps d’usage en jouant sur les faiblesses du comportement humain pour les rendre plus toujours plus addictives.

Une acceptation passive des effets secondaires indésirables des usages numériques s’est progressivement installée, via un consentement tacite et un acquiescement conditionnant l’accès aux services. Il ne peut s’agir d’une approbation totalement volontaire à consentir à la perte de contrôle de ses données, de son intimité et de sa vie privée.

L’économie numérique est basée sur l’adhésion, sans autre alternative possible, à l’exploitation des données des usagers qui sont censés être heureux de le faire pour ne pas cesser d’exister.

L’engrenage est parfaitement huilé et relativement invisible. L’économie du numérique s’est transformée en économie de la surveillance. Le divertissement est le bras armé de cette soumission volontaire. La connectivité permanente son fer de lance.

Ce n’est pas parce qu’ils sont nombreux à avoir échangé leur vie privée pour une vie numérique, dont les normes comportementales sont imposées par des fournisseurs de services, que tout le monde doit se résigner. Nous ne sommes pas obligés de continuer à nous laisser déposséder de ce que nous sommes, de ce que nous faisons, de l’endroit où nous sommes, de l’endroit où nous allons, de ce que nous voyons, de ce que nous pensons et aimons, des contacts fortuits ou voulus que nous entretenons !

Les fournisseurs de services ont bâti leurs empires hégémoniques et leur emprise sur un leurre. La « fin de la vie privée » est une invention récente imposée par des logiques de pouvoir et de puissance répondant à un besoin économique. Ils imposent des conditions d’utilisations que les personnes acceptent sans les lire et sans les comprendre, ce qui ne peut pas relever du consentement éclairé.

Si certains ont renoncé à leurs droits fondamentaux, en acceptant la violation de leur vie privée, en trouvant de tels dispositifs acceptables, en aimant la servitude volontaire, ce n’est pas le cas de tous. Le nombre ne fait pas raison et des alternatives technologiques moins violentes peuvent exister.

De nos jours, la surveillance est portée par la peur de l’infection par le virus biologique responsable du Covid-19 et par l’illusion de la toute-puissance technologique à résoudre les problèmes.

Aucune application, ne peut stopper un virus biologique.

Aucun logiciel, ne constituent un vaccin contre la contagion.

Aucun téléphone, n’est un remède à la maladie.

Aucun dispositif informatique ne peut remplacer les masques, les produits désinfectants, les tests de dépistage, l’hygiène comportementale, les services hospitaliers adaptés, le personnel compétent… Ce n’est pas parce que ces éléments font défaut qu’il faut leur substituer des outils informatiques pour suivre les individus, pister des personnes porteuses ou non du virus, tracer les malades, suivre les déplacements des confinés.

Même si la technologie peut remplacer une autorisation de déplacement papier, aucune surveillance numérique n’est une barrière réelle à la contamination. Aucune technologie n’est la solution miracle à la pandémie ni ne permet une meilleure prise en compte de ses conséquences. Aucune technologie n’est même capable d’en limiter les impacts pour l’économie.

Les solutions proposées actuellement, qu’elles émanent des GAFAs ou d’agences gouvernementales, sont des réponses partielles et leur efficacité pour la lutte contre la pandémie est loin d’être prouvée. En revanche, ces solutions constituent un nouveau moyen de surveillance à la fois efficace et bon marché. C’est l’usager qui paye pour sa propre laisse électronique dont il est difficile de savoir qui réellement la tient et pour sa surveillance numérique par son téléphone, son abonnement Internet et ses données.

D’autre part, c’est une accélération de la transition vers la dé responsabilité des humains/sujets à la faveur de ressources/objets. C’est consentir à déléguer le pouvoir à ceux qui maitrisent des technologies, y compris à des acteurs criminels capables de pirater les solutions mises en place.

La promotion marketing, les habitudes, les renoncements déjà consentis, les caractéristiques de mobilité, discrétion, simplicité, assurent une certaine adhésion aux leurres informatiques auprès de la population. Il n’y a pas de remise en question du fait que les progrès technologiques ne sont pas forcément synonymes à des progrès sociaux et politiques. En revanche, certaines entités ont bien compris comment tirer parti des avantages d’une surveillance numérique, dont les principales caractéristiques sont:

Économie de déploiement ;
Mobilité, souplesse, adaptabilité, réactivité (aux contextes, au nombre (foule, individu), à l’espace, à la durée, aux besoins, aux stratégies de surveillance, …) ;
Discrétion, invisibilité, (impossible à se représenter, impossible à combattre ou à s’y soustraire, peu de résistance) ;
Simplicité, banalisation (dispositif identique à ceux utiliser pour se divertir ou consommer) ;
Permanence (connectivité permanente et directe entre le surveillé et le surveillant) ;
Efficacité de la contrainte exercée et « douceur » de la manière dont le pouvoir est exercé sur le surveillé ;
Virtualisation de l’exercice du pouvoir (et de la violence répressive) et intériorisation de la contrainte par le surveillé.

L’application de traçage des personnes rencontrées, comme celle conçue par Apple et Google (qui se sont associés pour pouvoir l’intégrer dans les systèmes d’exploitation de leurs mobiles), pourrait persister et être utilisée à d’autres fins que celles pour lesquelles elle aura été mise en place.

Comment éviter que des mesures dérogatoires aux libertés publiques, même consenties dans un contexte exceptionnel, ne deviennent la norme ?

Qui peut garantir les libertés publiques ?

Comment éviter qu’une posture de sécurité sanitaire temporaire ne deviennent, dans l’indifférence, une imposture sécuritaire permanente?

Ne transformons pas le téléphone mobile en révélateur d’une surveillance subie, implicitement acceptée et durable.

Transcender la banalité du mal

19 mars 2020 Solange Ghernaouti

Transcender la banalité du mal

***

J‘ai écrit cet article après les attentats terroristes du 13 novembre 2015 à Paris, il fut publié dans le magazine Indices de l’Agefi de Décembre 2015. Aujourd’hui, dans cette situation de crise liée au Covid-19, il est toujours d’actualité, le voici sans aucune modification.

***

Avez-vous entendu parlé de Conflicker ? Ce ver informatique toujours actif depuis 2008 qui exploite une vulnérabilité critique de plusieurs versions de Windows. Il permet de prendre le contrôle à distance des machines infectées et de les piloter via un centre de commande et de contrôle. Le tout constitue un botnet, réseau de machines zombies pouvant se compter par millions réparties sur la planète. Les systèmes compromis, souvent à l’insu de leur propriétaire légitime, infiltrés par des agents dormants peuvent être activés à la demande pour réaliser des attaques en dénis de service, l’envoi de spam, le vol de données, de temps de calcul ou encore pour distribuer des contenus illicites.

Au cœur des principales infractions portant atteintes aux systèmes informatiques, les botnets sont à louer ou à vendre sur Internet. Paramétrables en fonction du niveau, du type de nuisances, d’impacts souhaités et des cibles visées, ils ont contribué à créer le concept de Crime As A Service (CAAS) et sont des vecteurs privilégiés de la cybercriminalité, d’actions relevant de l’hacktivime ou du terrorisme.

Le démantèlement des réseaux de botnets constitue un défi majeur pour les forces de l’ordre au même titre d’ailleurs que celui de réseaux d’hacktivistes ou de terroristes. En effet, leurs ampleur et dimension internationale nécessitent des investigations à ce niveau, ce qui pose des problèmes de ressources, d’entraide judiciaire internationale et de coopération entre les acteurs techniques et judiciaires. De plus, les compétences acquises dans le démantèlement d’un réseau deviennent vites obsolètes du fait de l’évolution des techniques et savoir faire des malveillants et du contexte dynamique dans lequel ils opèrent.

Par ailleurs, leur prévention est quasi impossible puisqu’ils bénéficient de la complicité passive ou active des internautes et des infrastructures technologiques licites. Ceci est également le cas des activités liées à l’hacktivisme et au terrorisme, constituées de cellules dormantes au sein de la population, pouvant se réveiller n’importe quand pour frapper n’importe où, de manière isolée ou synchronisée. Soutenues par une structure organisationnelle et financière, qui agit dans l’ombre tirant partie d’activités illicites, d’une économie souterraine efficace et s’appuyant sur une multitude d’acteurs parfois très spécialisés. Si l’ombre et l’anonymat sont nécessaires à la gestion de leurs activités pour leurs garantir une certaine protection et impunité, en revanche le monde des hacktivistes comme celui des terroristes, utilise à merveille les outils de communication, de e-marketing et de e-commerce de l’Internet pour être performant tant en matière d’information, d’endoctrinement, de manipulation ou de recrutement, que de planification et réalisation d’actions. Internet, caisse de résonance de leurs causes, permet une publicité gratuite comme en rêve n’importe quelle entreprise, est aussi un catalyseur du passage à l’acte.

Il y a eu un après 11 septembre, désormais il existe un après 13 novembre. La menace terroriste y compris dans le cyberespace est là pour durer, nous devons apprendre à vivre avec, comme nous le faisons avec les virus biologiques, que cela soit à Paris ou dans le cyberespace, nous devons vivre avec des agents pathogènes, des vecteurs de transmission inhérent à notre monde globalisé, un système immunitaire déficient et une antibiothérapie peu efficace au regard de la mutation des virus et du fait qu’ils deviennent de plus en plus forts et résistants.

Le « même pas peur !» n’est pas de mise car la peur peut être aussi un facteur de sécurité. Nous avons de bonnes raisons d’avoir peur, pour notre sûreté et notre liberté. Peur que notre sécurité relève de la chance, peur de devoir redéfinir la notion de liberté, peur de penser que le couple sécurité et liberté soit stérile et ne possède rien en commun. Peur de devoir troquer notre liberté pour une sécurité que l’on pourrait qualifier de peau de chagrin à l’instar du titre du roman de Balzac qui écrivit en 1831 « Si tu me possèdes, tu possèderas tout, mais ta vie m’appartiendra ».

Serons-nous en mesure de relever le défi de plus de sécurité pour plus de liberté ?

Saurons-nous trouver le juste équilibre entre sécurité et liberté ?

Pourrons-nous éviter les dérives sécuritaires au regard des besoins de protection et des moyens effectifs à disposition pour maitriser les risques ?

A nous collectivement et individuellement d’être non pas résilients mais résistants à la malveillance et à la cupidité de certains, sans oublier que l’on meurt toujours de la grippe. « Les trop nombreux » comme les dénommait Nietzsche sont effectivement en nombre et déterminés à nuire et à dominer, espérons que nous saurons, les yeux grands ouverts, être plus forts, non pas les yeux ouverts pour tâcher d’entrer dans la mort comme dans les Mémoires d’Hadrien de Marguerite Yourcenar mais les yeux grands ouverts comme avec Aragon dans son hymne à l’amour « … A moi dans la nuit / Deux grands yeux ouverts / Et tout m’a semblé / Comme un champ de blé … ». Espérons avec lui que “tout ce qui s’oppose à l’Amour sera anéanti”.

Merci aux poètes et artistes qui nous aident à transcender la banalité du mal.

***

Désormais, il y aura aussi un après Covid-19, du moins je l’espère!