fuites de données

Éduquer à la cybersécurité, une responsabilité de société

Solange Ghernaouti 3 commentaires

Eduquer à la cybersécurité, une responsabilité de société

La fuite de données personnelles et sensibles de plus de 20 millions d’Equatoriens révélée durant l’été 2019, est due au fait qu’une société de conseil en marketing, analyse de données et de développement logiciels, n’avait pas sécurisé le serveur sur lesquelles elles étaient stockées et mises en ligne. Le dirigeant de l’entreprise Novaestrat , spécialisée dans analyse de données a été arrêté par les forces de l’ordre équatoriennes.

Cette nième affaire de fuite de données est emblématique de la réalité et du peu de sérieux avec lequel sont appréhendées les problématiques de cybersécurité et de protection des données à travers le monde.

Sensibiliser, former, entrainer à la cybersécurité est devenu urgent afin que les pratiques de l’informatique évoluent pour tenir réellement compte des risques qu’elles font peser sur la société. Ces risques concernent toutes les activités humaines, par conséquent l’enseignement de la cybersécurité doit être intégré dans tous les champs disciplinaires.

L’enjeu est vaste, et y répondre est difficile mais pas impossible.

Sur le terrain de l’enseignement supérieur, et de manière complètement pragmatique, cela suppose la mise à disposition d’une offre de cours liée à la cybersécurité, adaptée aux titres auxquels pourront prétendre les futurs diplômés. Sachant que ces derniers deviennent après seulement quelques mois de pratiques des consultants seniors en cybersécurité, voire, des responsables en sécurité de l’information. Dès lors, l’enseignement et ses conditions de validation des acquis, examens, contrôles continus, projets, et travail de mémoire se doivent d’être particulièrement exigeants.

Il incombe aux organes de formation, de bien former, voire de former mieux les individus à la gestion des cyberrisques, qui sont de plus en plus graves. Il s’agit d’éduquer à la cybersécurité dans toutes les disciplines, car ces risques concernent tous les métiers. Où sont par exemples, les cours de cybersécurité à destination des futurs médecins, ingénieurs, avocats, architectes, gestionnaires et même des futurs marketeurs, etc ? Du moins ceux-ci, ont-ils suivi lors de leur cursus, une sensibilisation à la cybersécurité et à la protection des données ?

Si l’apparition récente de cursus spécialisés en cybersécurité est une excellente initiative, néanmoins, il est intéressant de pouvoir questionner le contenu effectif des formations dispensées et de vérifier leur adéquation aux besoins de la société. Les experts formés le sont-ils vraiment ? Si tel ne serait pas le cas, que faire pour améliorer la situation ?

Évaluer ou valider ?

Par ailleurs, dans la plupart des institutions universitaires, on assiste depuis quelques années à une augmentation accrue de l’importance accordée à l’évaluation des professeurs par les étudiants, entrainant par effet boomerang, des approches clientélistes et une diminution des exigences envers les étudiants. Lorsque cette forme de démagogie prévaut sur l’exigence pédagogique, c’est la qualité des spécialistes formés qui diminue. Cette mutation invisible et sournoise se reflète également dans les termes à utiliser pour décrire, non plus les méthodes d’évaluation des étudiants, mais celles de validation des acquis par ces derniers. Ce glissement n’a rien d’anodin. Désormais, seuls les enseignants sont évalués, non pas par leurs pairs, mais par des étudiants qui ont, eux pour objectifs, d’acquérir des crédits pour obtenir un titre académique.

Vers une approche clientéliste de l’éducation ?

Cela déplace le curseur pour les clients-étudiants de la motivation des études tournées idéalement vers l’apprentissage des connaissances et le développement des compétences vers le gain d’un diplôme, c’est à dire d’un label institutionnel.

Si l’étudiant devient client, alors l’enseignant peut être incité à devenir vendeur. L’institution, dans ce nouveau contexte, pourrait être tentée de brader les crédits de cours ou les diplômes. En fait, pour les vendeurs-enseignants, cela se traduit par une incitation, voire une pression à ne donner que des travaux faciles à réaliser, à supprimer les mauvaises notes, à ne pas prendre en compte les travaux échoués, à surnoter les prestations des étudiants, à ne pas donner trop de matières ou de contraintes de travail, en bref à plaire aux étudiants. La tentation peut être grande de céder à cette pseudo-facilité, y résister est équivalent à nager à contre-courant. Évaluer la qualité effective des prestations des étudiants revient parfois à pratiquer un sport extrême par la prise de risque que cela suppose.

Ne pas résister à l’uniformisation des savoirs « faciles » et au nivellement par le bas, conduit à transformer des cours en produits attractifs dont le marketing s’appuierait sur la minimisation du rapport effort de l’étudiant/ obtention de crédits par ce dernier. Le nouveau contrat pédagogique implicite consisterait à attribuer de bonnes notes à tous les acteurs sachant que la note des professeurs, dépend de la note des étudiants.

Contribuer au développement d’un écosystème numérique de qualité et de confiance

L’incompétence, la négligence, des défaillances dans la conception et la mise en œuvre des infrastructures numériques, dans l’analyse des risques, des défauts de sécurité informatique, des erreurs humaines, des erreurs de gestion, d’utilisation des systèmes d’information, engendrent des coûts directs et indirects pouvant conduire à la perte de données, de propriété intellectuelle, de compétitivité et de pérennité des organisations mais aussi à la perte de vie humaine.

Accorder, un titre en système d’information, en informatique, en intelligence artificielle ou en sécurité du numérique, par exemples, c’est accorder un label de qualité garantie par une institution académique, afin que les détenteurs de ces titres contribuent au développement de l’écosystème numérique en toute innocuité pour la société, car désormais nos vies dépendent du numérique.

Accorder le droit de travailler en informatique et en particulier en cybersécurité, c’est accorder le « droit de tuer », c’est pourquoi il est de la responsabilité des enseignants et des institutions de reconnaitre à leur juste valeur la réelle qualité des prestations des étudiants selon des critères rigoureux, objectifs et rationnels. Cela est non seulement une obligation, mais un devoir envers les employeurs, la société, et les générations futures.

 

 

 

Fuites de données, comptes piratés, mots de passes dans la nature

Solange Ghernaouti

Un éternel recommencement

La mode est un éternellement recommencement, le piratage informatique et la fuite de données aussi. L’annonce faite en janvier 2019 par Troy Hunt, expert sécurité, directeur régional de Microsoft Australie, via son site d’information Have I Been Pwned (HIBP) (“j’ai été mis en gage” – j’ai été dépossédé de mes données) en témoigne. Le site répertorie les principales brèches de sécurité et fuites de données pour aider les personnes à identifier si elles en ont été victimes ou non et pour faire des recommandations (y compris en faveur des solutions Microsoft).

Des collections particulières

Cette gigantesque fuite de données communiquée sous le nom de Collection # 1 résulte de nombreux piratages (environ 12 000 dont certains remontent à plusieurs années) et concernerait 2,7 milliards d’identifiants, près de 773 millions d’adresses distinctes et plus de 21 millions de mots de passe. De nouvelles fuites de données (Collection # 2 à 5) ont été révélées dans la foulée et correspondrait à 2,2 milliards d’adresses email et de mots de passe associés provenant de vols massifs de données sur des plateformes de fournisseurs de services comme par exemple en 2016 Yahoo (plus de 500 millions de comptes), Linkedn (117 millions) ou encore Dropbox (68 millions). Le nombre de comptes utilisateurs piratés chez leur fournisseurs se compte généralement en millions (500 millions pour les hôtels Marriott, 92 millions pour la plateforme de généalogie et de test ADN  MyHeritage en 2018, 57 millions pour Uber et 143 millions pour l’agence de crédit Equifax  en 2017, 412,2 millions pour le site de mise en relation Adult Friend Finder en 2016, 145 millions pour Ebay, 76 millions pour JP Morgan Chase en 2014 pour ne donner que quelques exemples).

Une collection est une accumulation d’objets ayant un intérêt, une valeur. La valeur de ces collections n’est pas liée à la rareté de l’information mais à son grand nombre et aux possibilités d’exploitation qu’elle autorise.

Applications concrètes du vol massifs de données

Ainsi, l’usurpation des paramètres de connexion d’un individu, permet de réaliser des actions ciblées de phishing et d’ingénierie sociale afin de manipuler une personne, la leurrer, la conduire à réaliser des actions spécifiques en vue d’escroqueries, d’intrusions dans des systèmes, de la diffusion de programmes malveillants (virus, prise de contrôle de la machine utilisateur pour des attaques en dénis de service, cryptolocker, cheval de Troie, …), etc. Cela permet également de faire porter la responsabilité d’actions malveillantes sur la personne dont le compte a été usurpé, de faire des campagnes de spam, de faire blacklister des adresses email, d’usurper des identités numériques sur des réseaux sociaux, de compromettre des contenus etc. …

Posséder un mot de passe est généralement synonyme de posséder le “Sésame ouvre – toi” de tous les comptes d’un internaute. Même si ce dernier possède des mots de passe différents, il est souvent aisé de déduire comment il les choisi.

Si toutes les informations rendues publiques ne sont pas directement exploitables et profitables il n’empêche que les outils d’analyse des données permettent de retrouver “une aiguille dans une meule de foin” et de tirer parti d’une information relative à l’identification d’une personne. Cela permet par exemple, de reconstituer des organigrammes d’entreprises, des annuaires professionnels de personnes y compris de celles travaillant pour des services sensibles gouvernementaux (justice, police, affaires étrangères, défense, renseignement, …) ou d’institutions privées, de faire fuiter des informations concernant des personnalités politiques, etc. par ailleurs, être en mesure de savoir qui communique avec qui, de récupérer des carnets d’adresses, de créer de “vraies” fausses informations et de faire croire que des contenus émanent de telle ou telle personne, peut servir des stratégies d’influence ou de déstabilisation.

Le contrôle d’accès en question

Cette énième affaire de mots de passe révélés, met en lumière la fragilité des barrières de protection des systèmes basées sur le contrôle d’accès à un seul facteur d’authentification (le mot de passe) et sur la difficulté qu’ont les fournisseurs de services à de protéger correctement les mots de passe de leurs clients, à moins que cela ne soit pas une priorité “business” ou que cela relève de la négligence.

Identifier, être en mesure de prouver l’identité en l’authentifiant constitue une brique de base indispensable au transaction commerciales et financières (consommation, paiement, suivi du consommateur, marketing, publicité ciblée, profilage, traçabilité, …).

Les processus d’identification et d’authentification sont au cœur des mécanismes de contrôle d’accès contribuant à rendre accessible ou non, des ressources informatiques, selon des critères prédéfinis.

Substituer ce que l’on sait par ce que l’on est (contrôle d’accès biométrique, empreinte digitale, rétine, …), ou par ce que l’on possède (jeton d’authentification, clé USB, puce électronique, …) sont des alternatives ou des techniques complémentaires à l’usage de la connaissance de secrets. En fait, toutes ces techniques nécessitent de garder de manière sécurisée des informations du côté du serveur d’authentification et ne résout pas le problème de la fuite possible de ces informations, que même si elles sont chiffrées (cryptées) peuvent parfois être déchiffrées (cas de Collection # ).

Changer de mots de passe régulièrement est toujours une possibilité, l’usage d’un système de mot de passe unique est encore mieux en attendant de pouvoir s’affranchir totalement de l’usage de mots de passe, mais peut être que le remède serait alors pire que le mal …

Depuis 2013, le consortium industriel américain “Fast IDentity Online” (l’Alliance FIDO) promeut l’usage intégré de plusieurs techniques d’authentification, ainsi que des standards d’authentification Web Authentication (WebAuthn) standard (avec le World Wide Web Consortium (W3C)) et du Client to Authenticator Protocol (CATP). L’ensemble étant soutenus par les acteurs hégémoniques du Net, de la téléphonie, des organismes de paiement comme Google, Microsoft, Amazon, Alibaba, Facebook, Intel, Lenovo, Paypal, Sansung, Visa par exemple, membres de “l’alliance” et dont les solutions sont intégrées dans leurs produits. Cette même Alliance est en mesure de certifier les partenaires qui adoptent ses mécanismes d’authentification…

Dénoncer des problèmes de mauvaise gestion de mots de passe pour inciter à une meilleure qualité de gestion des mécanismes d’authentification est une bonne chose. Migrer vers d’autres mécanismes d’authentification, qui déplace le problème de la sécurité sans pour autant le résoudre car les solutions de sécurité doivent être sécurisées avec une robustesse efficace dans le temps (ce qui n’est pas encore prouvé), ressemble à une fuite en avant technologique. L’incitation à passer par des solutions “FIDO” fidélisera le consommateur à une solution unique valable pour tout, ce qui facilitera également son profilage et ajoutera de la dépendance à la dépendance.