Pandémie et Cyber: Faire face

Un aperçu de la réalité

Télétravail

Le télétravail recommandé pour contribuer à lutter contre la pandémie, n’a fait que stimuler l’ingéniosité des criminels et qu’augmenter le nombre et l’attractivité des systèmes connectés et des flux échangés.

Les cybercriminels s’adaptent à l’évolution des opportunités et les saisissent avec une redoutable efficacité, agilité et réactivité. Ils savent rentabiliser leurs actions, qu’elles soient orientées recherche de profit ou motivées par des finalités de déstabilisation économique ou politique. Leurs cibles peuvent être autant des individus que des organisations publiques ou privées, leur terrain de jeu est mondial.

S’il est possible de connaitre la nature des cybercrimes rapportés aux instances de justice et police, il est plus difficile, voire impossible d’obtenir une cartographie exhaustive de la réalité de la cybermalveillance. En 2020, comme lors des années précédentes, les systèmes d’information des organisations ont fait l’objet d’attaques essentiellement liées à l’exploitation de leurs vulnérabilités, à des logiciels malveillants comme des rançongiciels par exemple. Les attaques en déni de service, l’usurpation de paramètres de connexion et de comptes, la compromission de systèmes de messagerie, l’ingénierie sociale ont encore été au service d’une criminalité essentiellement économique.

Recrudescence de cyberattaques

Toutefois, la recrudescence des cyberattaques ciblant par des systèmes liés à la santé (sites hospitaliers, centres de recherche, laboratoires pharmaceutiques, …) marque un virage dans la perception de la motivation des acteurs impliqués. Au-delà du gain économique potentiel que pourraient procurer des cyberattaques sur des infrastructures de santé, elles questionnent sur leurs capacités de déstabilisation et leur finalité qui pourrait relever du terrorisme, lorsqu’elles mettent en danger la vie.

Les enfants ne sont pas épargnés

Même s’il en est moins question dans les médias, il ressort des rapports d’Interpol[1] et d’Europol[2] que les périodes de confinement ont donné lieu à une augmentation des activités liées à l’exploitation sexuelle des enfants en ligne. La commercialisation de contenus d’abus sexuels de nourrissons et d’enfants a largement été observée. Un cybercrime n’est jamais virtuel. En matière de cyberpédophilie, seule leur représentation est dématérialisée et ce sont bien de vraies victimes qui sont abusées et dont la vie est détruite. Le contexte de la pandémie a également profité à ceux savent tirer parti des réseaux dits sociaux comme caisse de résonnance pour amplifier des actions de manipulation d’information, de rumeurs, de fausses informations, ou de contre-vérités en lien avec la Covid. De véritables campagnes de désinformation et de manipulation de l’opinion se sont déroulées au travers d’Internet, avec des niveaux d’impacts variables. À l’inverse, dans certains pays, ce sont des journalistes et des lanceurs d’alertes qui ont été condamnés par les autorités des pays dont ils sont les ressortissants pour avoir tenté d’informer, d’attirer l’attention sur la gravité de la situation et avoir osé proposer des récits de la pandémie différents des récits officiels.

Internet est un vecteur amplificateur et de globalisation de la criminalité.

Le risque informatique d’origine criminelle est ainsi devenu un risque structurel dont le coût est porté par la société. Pour autant, disposons-nous des mesures de lutte contre la cybercriminalité suffisantes ?

Mettre un frein à l’impunité des cybercriminels

Même s’il est regrettable que tous les cybercrimes rapportés ne fassent pas l’objet d’investigation, retenons toutefois, pour n’en citer qu’un, le succès de la coopération des forces de l’ordre advenu en 2020, concernant la France, la Suisse, l’Allemagne, les Pays-Bas et les Etats-Unis. Celui lié au démantèlement d’une infrastructure (Safe-Inet) au service de la cybercriminalité, active depuis une dizaine d’années[3]. Par le recours à des services de réseau privé virtuel, les acteurs criminels qui y recourraient pouvaient agir sans craintes d’être identifiés et en toute impunité. Ce qui contribue largement à la performance et à l’augmentation de la cybercriminalité et de facto, à l’accroissement du nombre de victimes. Élever la prise de risque pour les criminels d’être poursuivis et intensifier le nombre de barrières à la réalisation de l’action criminelle, passent par des mesures de cybersécurité et des moyens de lutte contre la cybercriminalité. Si ce succès des forces de l’ordre est appréciable, combien de plaintes sont restées sans suite et combien d’investigations n’ont jamais été entreprises ou ont abouties?

 La cybersécurité, une réponse partielle et incomplète

La cybersécurité est avant tout une affaire de gestion des risques, d’anticipation et de réactivité. Elle s’intègre dans une culture de maitrise intégrée de risques complexes. Elle s’appuie sur des mesures adaptées de sécurité, des compétences humaines et des capacités particulières qui doivent exister et être entrainées. Cela se construit dans un temps long, en amont de la survenue des problèmes, or le travail à domicile a été mis en place dans l’urgence, sans forcément prioriser et apporter des réponses convaincantes aux besoins de cybersécurité requis au regard des risques encourus. Les PMEs notamment mais pas seulement, sont alors devenues encore plus exposées et vulnérables lors de la crise sanitaire. En revanche, les entreprises, qui autorisaient déjà le télétravail ou étaient habituées au travail à distance ou qui avaient d’employés nomades, étaient en principe mieux préparées aux cyber risques que celles qui ont dû passer au télétravail dans la précipitation.

En matière de cybersécurité, l’ouverture des systèmes, la connectivité permanente et la facilité d’usage d’outils grands publics et souvent gratuits ne riment pas avec un niveau de sécurité de qualité. Il est avéré que les logiciels gratuits, y compris ceux utilisés pour réaliser des visioconférences, n’offrent pas un niveau raisonnable de sécurité mais il est désormais impossible d’ignorer qu’ils exploitent les données livrées par les des utilisateurs et celles collectées à leur insu.

Pour autant, sommes-nous suffisamment conscients des conséquences des actions d’intelligence économique, d’espionnage et de surveillance, que les pratiques numériques non sécurisées et que la perte de la maitrise des données autorisent ?

Ce que la crise du Covid nous apprend en matière de gestion des risques

Une posture de sécurité

Être en sécurité, consiste généralement à fermer des environnements, à réaliser des périmètres de sécurité, cela demande le plus souvent de restreindre des activités et de renoncer à des pratiques qui ne sont pas suffisamment bien et correctement sécurisées. Pour se protéger en cas pandémie liée à un virus biologique, il y a le confinement, le port du masque, l’adoption des comportements et des mesures d’hygiène. Lutter contre la propagation de virus informatiques (programmes malveillants, rançongiciels,…) et la réalisation de cyberattaques, nécessite de disposer d’une politique de sécurité, de mesures d’hygiène et de cybersécurité efficaces et de les accompagner de campagnes de sensibilisation et de pratiques cohérentes du numérique.

Jouer aux cyberpompiers, n’est pas suffisant

Encore aujourd’hui, en matière de cybersécurité, nous agissons en « pompiers », nous intervenons après une cyberattaque (lorsqu’elle est détectée), après un incident ou un sinistre informatique, souvent dans l’urgence (à condition de disposer des équipements nécessaires à éteindre l’incendie).

Être réactif, c’est bien, mais pas suffisant au regard des conséquences désastreuses que peuvent entrainer des cyberattaques. Il est impératif de pouvoir être plus proactif et de tout mettre en œuvre pour prévenir la concrétisation de menaces. En aucun cas, réaliser des activités sur Internet doit être synonyme d’accepter de devenir une cible de la cybercriminalité et l’objet de pratiques abusives du numérique par ceux qui le maitrisent et fournissent des services devenus de plus en plus incontournables.

De l’élevage en batterie, aux risques Cyber

L’élevage en batterie, la concentration des êtres et des risques, c’est ce qu nous donne également à observer la pandémie actuelle. Elle nous offre un mirroir de notre réalité informatique avec la concentration des données et des traitements par des acteurs hégémoniques et des grandes plateformes numériques. Le réseau Internet ne contribue plus comme à son origine à distribuer les traitements et donc à répartir les risques. Le paradigme des fournisseurs de plateformes et celui de l’informatique en nuage, ont réinventé la concentration et la centralisation. Ce qui rend entre autre possible, le vol massif des données et le piratage à grande échelle de comptes utilisateurs.

Crise sanitaire, crise d’envie d’avenir ou crise de l’anticipation ?

Besoins de ressources

Pour faire face à une crise de grande ampleur, de grande intensité et qui en plus s’incrit dans la durée, il faut y être préapré. Anticiper et prévoir un évènement, une situation ou une crise et ses conséquences, demande une posture, une volonté politique et des investissements. En sécurité comme en santé, pour gérer une crise il faut des « réserves » qui ne servent qu’en cas de crise (et qui coûtent « pour rien » le reste du temps). Ce qui est souvent considéré comme un frein à la performance et à la rentabilité économique des organisations. Les ressources nécessaires en cas de crise sont alors souvent insuffisantes, voire inexistantes, il en est de même en cybersécurité.

Gérer le risque, mais jusqu’où prévoir le pire ?

Au-delà de la crise sanitaire actuelle, sommes-nous préparés à faire face par exemple à un accident nucléaire majeur en Europe ? Disposons-nous de masques, compteurs, détecteurs, pastilles d’iode, ou encore par exemples, de capacités d’alimentation avec des produits non contaminés ? Qui aujourd’hui est en mesure d’anticiper et d’appréhender les risques complexes et interdépendants portant notamment sur les infrastructures relatives à l’alimentation électrique, dont dépendent totalement les systèmes et réseaux informatiques, qui pourraient être mise en danger par un tel accident et compromettre l’ensemble des services informatiques ?

Pouvons-nous, aujourd’hui et demain faire face à des cyberattaques de grande ampleur et intensité sur les infrastructures critiques et sur les chaînes d’approvisionnement ? Sommes-nous en mesure de maitriser des crises systémiques ? Quid d’une double crise liée à une pandémie biologique et à cyberpandémie ?

Le numérique peut contribuer à résoudre une partie du problème lié à la pandémie. Toutefois, en optant pour toujours plus d’informatisation et de cyberdépendance, avec des services et des infrastructures numériques vulnérables aux cyberattaques, l’économie et la société deviennent plus fragilisées. Sommes-nous capables d’anticiper les conséquences des impacts de la perte de la maitrise des infrastructures numériques vitales au bon fonctionnement du pays ? Ne sommes-nous pas collectivement et individuellement leurrés par le solutionnisme technologique?

Faire de la gestion de crise consiste à assurer en amont de la crise, d’être en mesure de disposer d’une organisation, des compétences, et des ressources nécessaires pour y remédier. Ce qui se traduit dans un monde hyperconnecté et interdépendant à devoir être suffisamment autonome, indépendant et souverain.

Sommes-nous en situation d’autosuffisance numérique ?

Pouvons-nous être en situation de cybersouveraineté ?

Faire face, une imminence urgente

Transition numérique ou fuite en avant technologique?

La pandémie est un accélerateur de la transition numérique déjà orchestrée et une justification de plus conduisant à la dématérialisant des activités. Il s’ensuit pour les protagonistes, une perte de contrôle de celles-ci (accompagnée généralement par une perte de sens) au profit des intermédiaires technologiques. De manière concomitante, la dématérialisation contribue à développer les applications d’analyse massive des données, le marché de l’intelligence artificielle, le surveillance, informatique généralisé (controlling) et l’économie de la surveillance.

Le monde d’après et notre rapport à la technologie

Ne serait-il pas temps de saisir le formidable élan “d’ouverture des yeux” que la pandémie à engendré pour aiguiser notre vision sur les vulnérabilités et les risques liés au numérique? Outre le nouvel ordre du monde et l’organisation algorithmique de la société instaurés, non maitrisés les risques Cyber sont des facteurs de déclin de la civilisation. Ils constituent d’ors et déjà une menace pour l’environnement, le vivant et l’humanité. Est-ce cela, que nous souhaitons laisser en héritage à nos enfants?

Ne serait-il pas temps de considérer notre asservissement au numérique et à ces multinationales emblématiques, pour remettre en question d’une part, notre servitude volontaire à les rendre toujours plus puissantes et d’autre part, notre docilité voire, notre soumission aux injonctions électroniques?

Ne serait-il pas temps tout simplement de résister, c’est à dire, comme le souligne l’origine latine du verbe, de faire face, de se tenir en faisant face?

Au-delà de savoir pourquoi et comment nous en sommes arrivés là, profitons de cette envie de comprendre pour avoir envie d’un avenir numérique différent et d’agir en conséquence.

Peut être que cela nécessitera de passer par une certaine désobéissance numérique, du moins, tant que celle-ci sera possible.

Cette menace est bien réelle et lorsque l’imminent renvoie à l’origine du terme “menacer”, il y a urgence à la prendre en considération.

 

[1] https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-highlights-impact-of-COVID-19-on-child-sexual-abuse

[2] https://www.europol.europa.eu/covid-19/covid-19-child-sexual-exploitation

[3] https://www.europol.europa.eu/newsroom/news/cybercriminals’-favourite-vpn-taken-down-in-global-action

 

Trou noir & données de santé

Fable de l’ère numérique

Ada travaille pour la multinationale Abécédaire.

Elle est une petite main.

Elle sait qu’un jour elle sera remplacée par un algorithme.

Mais ils ont encore besoin d’elle pour nourrir en données le programme qui la rendra obsolète.

Pour l’instant, Ada sait mieux que les algorithmes comprendre des contextes ambigus.

Ada demeure moins chère que le robot logiciel qui prendra sa place ainsi que celle de ses collègues.

Ada alimente la machine en données qui vont lui permettre de reconnaitre, de distinguer, de déduire.

L’ordinateur pourra de ce fait, de mieux en mieux simuler l’humain, réaliser des tâches et se substituer à lui.

Ce faisant, Ada a bien conscience qu’elle contribue à perdre le futur de son travail et qu’elle hypothèque son propre avenir.

Ada vit au jour le jour et accepte de travailler toujours plus, de faire des heures supplémentaires comme travailleuse du clic à domicile.

Ada accepte tout, le mal de dos, les douleurs aux articulations des mains et des bras, le mal de tête, les yeux qui démangent, secs à force de regarder l’écran.

Elle se prête à la soumission volontaire aux injonctions électroniques du capitalisme numérique.

Elle permet d’alimenter en big data les boyaux infinis des machines d’apprentissage automatique (deep learning) et d’analyse de données (data analysis)

À la maison, Ada a l’impression d’être avec ses enfants même si elle n’est pas disponible pour eux, elle est là sans être présente.

Mais dans l’instant, au service Comptabilité d’Abécédaire, Ada ne pense pas à tout ça ni à ses enfants.

Ada doit se concentrer, garder la cadence, vérifier et valider des transactions financières liées à des contrats d’assurance émis par la filiale CoefAssur d’Abécédaire.

Quelque chose d’inhabituel a attiré l’attention d’Ada.

Elle s’interroge sur les nouveaux bonus, malus liés à l’usage ou non, de certains objets connectés produits par la filiale santé Verify-Life d’Abécédaire.

Ada vérifie quelques dossiers.

Les clients qui ont modifié leur contrat d’assurance en acceptant la clause « Objets connectés obligatoires » payent désormais moins chers leurs assurances santé.

L’option est explicitement conditionnée à l’acceptation de multiples capteurs de données à porter sur soi et à avoir chez soi.

Le tarif assurantiel est fonction du nombre et du type de capteurs.

Il existe de grandes variations d’un assuré à l’autre avec un système d’adaptation constante des primes et des remboursements.

Ada constate que ceux qui portent des chaussures connectées et qui suivent les prescriptions de comportement du logiciel de surveillance afférent, bénéficient d’un bonus moins important qui ceux qui ont opté pour le bracelet connecté.

Les chaussures permettent juste de surveiller le poids, le nombre de pas effectués et les trajets réalisés.

En revanche, le bracelet avec ou sans écran, est une sorte de super-capteur intégré dans un bijou que l’on peut enlever uniquement trente minutes par mois pour en recharger la batterie.

Il permet de contrôler le poids, la masse graisseuse, la température, le rythme cardiaque, les cycles du sommeil, mais aussi de déterminer l’humeur de la personne .

Il évalue en permanence la santé physique et mentale de celle celle-ci.

Le fournisseur du bracelet avec sa panoplie de service d’informatique en nuage, intelligence artificielle et en apprentissage automatique, offre à ses clients la possibilité de découvrir, d’adopter et de maintenir de bons comportements individuels en matière de santé et bien être.

Chaque détenteur de bracelet a la possibilité de recevoir sur son téléphone la modélisation de son corps – extérieur et intérieur – à partir de photos fournies par l’usager et de scans corporels réalisés à partir de capteurs particuliers à coupler au téléphone.

C’est très pratique.

Ainsi par exemple, les femmes enceintes peuvent voir leur fœtus en auto-pratiquant des échographies.

Il est vrai que cette option est assez onéreuse, mais elle reste toutefois intéressante car elle permet en théorie, de diminuer le nombre de visites médicales et parfois de rassurer les malades imaginaires ou non.

Il est aussi possible de coupler ce dispositif à une imprimante 3D et de fabriquer un semblable (corps, organe, fœtus,…).

Ada a déjà vu ces nouvelles sculptures qui font fureur dans une galerie à la mode.

Ces œuvres d’art d’un nouveau genre, où la limite de l’imagination humaine est suppléée par logiciel, font l’objet d’un étonnant commerce.

Ada se souvient des premières publicités et offres promotionnelles qu’elle recevait concernant ces bijoux de santé connectés.

Elle se souvient, qu’à l’époque elle avait du mal à croire que la maitrise de la santé psychologique et mentale d’une personne était possible via une évaluation permanente de sa voix, de ses fluides et de ses paramètres physiologiques. Cependant, des témoignages sur les réseaux sociaux circulaient.

Grâce à l’analyse combinée de l’énergie et de la positivité de la voix, connaitre l’état émotionnel de la personne était faisable. Cela servait, par exemple, à lui indiquer comment elle devait se comporter pour être mieux perçues par les autres, améliorer ses relations sociales ou ses pratiques sexuelles ou encore avoir plus d’amis.

En fait, cela l’aidait tout simplement à être plus performante et plus « normale » selon les normes édictées pour un savoir-être rentable.

Des médicaments ou suppléments alimentaires peuvent alors être fortement recommandés pour réguler les humeurs.

Autour du dispositif de base du bracelet, des modules supplémentaires peuvent s’intégrer à l’infini, comme celui par exemple, qui consiste à le coupler avec le logiciel du fournisseur de régimes minceurs.

Toutes les données sont alors synchronisées et traitées en temps réel et la personne sait ce qu’elle doit manger, quand et comment.

Un système de récompense est en place pour faciliter l’adoption de comportements positifs.

L’accompagnement vocal est enclenché aussitôt qu’une déviance ou un non-respect des prescriptions est identifié.

Tout le mécanisme est parfaitement compatible avec le dossier médical informatisé et le réseau de cliniques et d’hôpitaux affiliés à Abcd-Care et à ceux et celles qui appartiennent à la multinationale Abécédaire.

Les hôpitaux publics sont des partenaires très actifs de ce vaste système de mutualisation et d’optimisation de la collecte et du traitement des données de santé.

Il peut tout aussi bien s’agir de cliniques virtuelles que sont les plateformes numériques qui permettent des consultations en ligne.

Outre les interactions directes du patient avec un logiciel, ce dernier a éventuellement la possibilité, mais c’est plus onéreux, d’avoir une consultation en visioconférence avec du personnel médical ubérisé.

Le personnel est toujours assisté par une intelligence artificielle d’Abécédaire.

Des ordonnances, peuvent être automatiquement émises et des médicaments livrés à partir de la filiale ad hoc du groupe qui les fabrique et les distribue.

Tous les services sont intégrés, automatisés, gérés de manière optimale, rationnelle et performante.

Progressivement habituée au « Tout Numérique », Ada se fait livrer ses achats par le service Drone-Express mis à disposition à prix préférentiel par son employeur.

Elle a refusée l’option de location d’un drone domestique privé, trop chère pour elle et son logement est bien trop petit pour être un de plus à la maison.

Les drones personnels actifs à l’intérieur des domiciles, peuvent servir, avec leur minuscules caméras et oreilles, à des fins de sécurité et de contrôle.

En tant que drones de sécurité, ils sont couplés aux assistants domestiques, eux-mêmes reliés en permanence à leur fournisseur.

Cela permet de capter les données environnementales et comportementales des habitants.

Ce dispositif compatible avec toutes sortes d’objets connectés offre des services de coach et d’assistance en tout genre.

Ce qui plaît le plus aux usagers, est la panoplie disponible de jeux et de divertissements et l’intégration du dispositif à la chaine d’approvisionnement des services de sécurité globale, les rassure.

Ada se rappelle que ces nouveaux services du « Tout Numérique », s’est mis en place lors de la grande pandémie.

Celle-ci fut un grand accélérateur de la privatisation de la santé et un catalyseur permettant de considérer la santé comme un produit commercial comme un autre dans une logique néolibérale poussée à l’extrême.

A l’époque, la concurrence était grande sur le marché de la santé.

Les multinationales hégémoniques de l’informatique et de l’Internet ont développé des services de cybersanté.

Elles les ont testés et améliorés en les proposant puis en les imposant à leurs employés, avant de les commercialiser partout dans le monde.

Leur première innovation a résidé dans la manière d’acquérir les données et de capter les utilisateurs.

Le plus important fut de convaincre les acteurs de la santé publique qui existaient alors, de collecter et de transmettre gratuitement les données de leurs patients, y compris leurs données génétiques.

Ce fut facilité par les partenariats avec les centres de formation et de recherche universitaires, dont les hôpitaux détenaient des bases de données extrêmement riches.

Il fut facile de convaincre les patients de consentir à accepter que leurs données, prélèvements et résultats d’analyse, soient utilisés pour la science afin qu’ils soient mieux soignés.

L’accès aux dossiers médicaux des patients, couplée à l’analyse de données par des procédés d’intelligence artificielle permet de connaitre, prédire, influencer éventuellement prévenir, détecter ou gérer des maladies.

Cela contribue également au ciblage publicitaire et à la promotion des soins de santé ou des produits pharmaceutiques et parapharmaceutiques.

Mais c’est dans bien d’autres domaines (assurance, travail, banque et finance, …) que des bénéfices peuvent être réalisés par les organisations qui connaissent désormais parfaitement l’état de santé et les antécédents médicaux des personnes.

Ada a même entendu dire que ces données servaient à déterminer le montant des pensions mensuelles que recevaient les retraités.

C’est en vérifiant la comptabilité de la filiale assurance CoefAssur d’Abécédaire, qu’Ada réalise que le marché de la donnée de santé est vraiment lucratif.

Ce qui la déstabilise le plus est de prendre conscience que toutes les actions de sa vie, tous les services souscrits dont elle a eu besoin et ceux qu’elle a été obligée d’accepter, toutes les informations recueillies par un objet connecté finissaient par alimenter à son insu, un seul compte utilisateur maitrisé par la multinationale Abécédaire.

Contrainte à alimenter via un entonnoir numérique une sorte de trou noir absorbant ses données personnelles et professionnelles à l’infini, Ada se sentait vampirisée.

Elle sourit à l’idée que malgré la prédation de ses données, son inféodation au numérique et sa dépendance aux plateformes, elle était vraiment seule face à ses chagrins et que cette solitude pouvait être un espace de liberté.