Pour comprendre pourquoi la cybersécurité est un sujet parfois incompris et délaissé, nous nous proposons dans cette première session de la semaine de nous pencher sur les représentations que l’on a du cyber risque et souligner combien ces représentations du cyber risque sont à la fois erronées et anxiogènes.

Comme le rappelle le site du gouvernement français, la cyber attaque est une atteinte à des systèmes informatiques qui est réalisée dans un but malveillant. Ces cyber attaques peuvent prendre la forme de cybercriminalité, d’atteinte à l’image, d’espionnage ou de sabotage. Le cyber risque lui se situe en amont de la cyber attaque. Il correspond au risque de subir des pertes financières ou réputationnelles. Ces pertes sont la conséquence d’:

• une possible défaillance des systèmes informatiques qui est d’origine technique, ou d’origine humaine (quand il y a des erreurs dans l’utilisation de ces systèmes);
• une possible incapacité, partielle ou totale, des systèmes informatiques et des utilisateurs de ces systèmes à résister et à prévenir une cyber attaque.

Les représentations du grand public sur le cyber risque sont construites majoritairement à partir de films cinématographiques. Pour celui qui ne suit pas de formations dédiées et pour celui qui n’est pas confronté dans son environnement professionnel à des attaques cyber, le cyber risque se découvre et s’appréhende majoritairement à travers des œuvres de fiction.

• “War Games” (1983): un étudiant pénètre le système de défense américain et se trouve en capacité de déclencher un conflit nucléaire. Après avoir vu le film, le président américain de l’époque, Ronald Reagan a demandé à ses services si cette fiction était possible. Ce à quoi on lui a dit oui…
• “Hacker”: activisme déstabilisation du régime en Chine.
• “The Circle”: dystopie, dérive des réseaux sociaux.

D’autres fictions imaginent les possibles dérives de nos pratiques technologiques et de notre dépendance aux machines robotisées et à la numérisation, des conséquences possibles d’utopies qui tournent mal. L’approche dystopique peut être bénéfique pour interpeller mais il faut que le contexte soit adapté et le public en capacité de dépasser le sentiment d’anxiété sans tomber dans la fatalité/l'abandon.

• “The Great Hack”: manipulation des électeurs américains par Cambridge Analytica/Facebook (2015). Si la machinerie exploitait des milliers de points de données, il est aussi possible d’obtenir de précieuses informations personnelles avec une donnée clef. Ainsi, pour des contextes d’analyses et de prédictions commerciales basées sur les data produites par un smartphone, la donnée à collecter qui est centrale, au vu de sa valeur une fois croisée avec d’autres données externes, est la donnée de la géolocalisation comme le montre les conclusions du programme de recherche mené par la CNIL et l’INRIA (Mobilitics, saison 2, Février 2016).

Caricaturalement, il est possible de situer l’ensemble des œuvres fictionnelles et des documentaires en deux groupes opposés.

Représentations d’un cyber risque délirant, improbable, et tellement futuriste qu’il est aisé de se conforter dans l’idée que c’est irréel et invraisemblable. De plus, dans ces films à l’Hollywoodienne avec la résolution des problèmes à la fin du film et l’oubli des dommages post-traumatiques de la crise cyber. Ces films nous font croire que les cyber risques sont contrôlables, focalisés sur quelques cibles (des pays souvent) et occasionnels. Ces représentations finalement constructives et rassurantes sont hélas loin de la réalité qui montre que les attaques cyber se produisent en continu et qu’elles concernent l’ensemble des pays du monde (voir le reportage « Cyberguerre l’arme fatale », 2015).

De l’autre côté, la collecte systématique des informations individuelles nous concernant, la numérisation systématique de quasiment tous les services (administratifs, gouvernance, consommations, santé, etc.), et l’utilisation croissante des techniques de deep-learning et d’intelligence artificielle impliquent des risques. Parmi ces risques, citons les vols de données, l’usurpation d’identité, l’incapacité à fonctionner sans certains outils numériques (cas de la nomobilphobia, terme donné pour désigner la détresse ressentie à l’idée de se voir privé de « son » téléphone portable) et le verrouillage dans des dépendances fonctionnelles à certaines solutions numériques logicielles, et enfin la croissante difficulté à identifier la crédibilité d’une information (comment faire la part des choses entre le vrai et le faux: le fake et désormais le deep-fake). Quand certains reportages et documentaires décrivent trop en détail les menaces qui pèsent sur tout un chacun, l’ampleur du danger paraît démesurée au point de ne pas être supportable. Face à des contenus trop anxiogènes et au sentiment d’impuissance, le public va être tenté de renvoyer d’un revers de main ces informations, c’est la technique du fatalisme. Il peut aussi choisir de démonter l’argumentation et de l’éviter, c’est la technique du déni. Ce déni est typiquement observable quand la personne va expliquer que bien sûr, cela existe mais qu’elle-même n’est pas concernée car elle sait qu’elle n’est pas une personne importante. Le problème est que si chacun, individuellement, nous ne représentons pas grand-chose, agrégés avec les millions d’autres données disponibles sur toutes les autres personnes qui ne représentent pas grand-chose, et traitées massivement via des techniques de data mining élaborées et assistées par intelligence artificielle, il devient alors possible d’élaborer des modèles puissants et de lancer des process d’influence et de manipulation et des attaques automatisées et ciblées sur la base de requêtes.

Les chiffres d’attaque cyber ne cessent de croître atteignant des pics toujours plus impressionnants. Les annonces sur le nombre de cyber attaques journalières pour la NSA se dénombre en millier d’attaques par jour avec des pics qui s’approchent parfois de la dizaine de milliers d’attaques quotidiennes. Les chiffres sur le nombre d’attaque évoluent nécessairement avec le contexte du télétravail et de la télé-éducation. Ainsi, l’année du confinement mondial et de la crise sanitaire de 2020, il y a eu une explosion des attaques. En effet, dès lors, que du jour au lendemain, les employés et les élèves, étudiants, les commerçants, tout le monde se retrouve chez soi pour y travailler ou pour y étudier, sans y avoir été préparé, c’est la porte grande ouverte à toujours plus de failles techniques et humaines.

• Attaque étatique généralisée sur l’Estonie en 2017. Un début d’émeute et d’incompréhension entre les anciens partisans de la Russie du monde communiste et l’Estonie qui se veut plus libre. En toile de fond symbolique, il y a le choix dans une ville du pays de vouloir enlever une ancienne statue qui symbolise l’appartenance à l’ancien bloc communiste. Cet événement qui est local, tout juste national, donne pourtant lieu à ce qui va être la première attaque massive au niveau national de tous les réseaux internet du gouvernement, de ces banques, de ces médias. Ce cas de l’attaque de l’Estonie est un cas historique en termes d’attaque massive d’un pays dans l’intégralité de ses infrastructures.
• Attaque industrielle avec le Worm Stuxnet. C’est un ver informatique ( un virus qui se déplace dans le réseau) qui a été découvert en 2010 conçu par la NSA en collaboration avec un organisme externe. L’ambition de ce ver informatique était de s’attaquer à des centrifugeuses iraniennes. Il s’agissait de ralentir le développement de l’expansion du nucléaire et cela, en ralentissant la recherche de l’enrichissement d’uranium en Iran. Ce ver informatique qui espionne et qui reprogramme les systèmes industriels est un premier cas d’école de cyber attaque industrielle.
• Attaque d’espionnage sur les cartes SIM de Gemalto. Le fabricant français Gemalto qui fabrique des cartes SIM (aujourd’hui, racheté et filiale de Thalès) a fini par concéder qu’entre 2010 et 2011, il y a eu des attaques sophistiquées contre ses cartes. Les appareils diffusés dans plusieurs pays ont fait l’objet d’un déchiffrement possible et mise en place d'une surveillance généralisée et discrète de tous les téléphones mobiles proposés par cette entreprise.
• Attaques d’équipe de campagne électorale : Anticiper et prévenir. Fort de l’expérience du vote de la présidentielle américaine en 2016, le responsable de l’ANSSI (Agence Nationale de la Sécurité des Services d’Information) en France va regrouper l’équipe qui va porter le candidat Emmanuel Macron pour leur expliquer qu’une équipe de campagne électorale représente une forme de PME temporaire. Dès lors, il leur explique que « s’il est impossible d’éviter les attaques en termes cyber, il est toutefois possible d’en limiter les effets. Il faut avoir une stratégie de lutte contre les cyber attaques ».

Il y a en général sous représentation de publicisation des attaques économiques d’entreprises individuelles car dans ces situations d’attaques auprès d’entreprises individuelles, il faut savoir que ces attaques restent majoritairement inconnues du grand public. En effet, il ne s’agit pas de laisser voir que l’on peut être attaqué et que l’on a subi des dommages, même s’ils sont maîtrisés ou minimalisés. Cela peut générer des baisses de confiance de la part des investisseurs et créanciers et de la part des consommateurs. Il est souvent préférable pour l’organisation de cacher l’attaque. Bien sur, si cette attaque concerne désormais des vols de données personnelles, l’organisation doit désormais suivre les recommandations européennes et le signaler. Mais avant 2018, rien n’obligeait les organisations à rendre l’attaque publique.

Nous avons vu que le cyber risque tel qu’il est présenté aujourd’hui au public non averti est difficile à appréhender car il oscille entre une vision romanesque fictionnelle et une sorte de dystopie au devant de laquelle l'individu reste impuissant. A la question de savoir pourquoi c’est à travers les films et les documentaires que le cyber risque nous est proposé à la compréhension, la réponse est dans la nature même de la majeure partie des cyberattaques. En effet, qu’il soit question de cybercriminalité, c’est-à-dire un délit réalisé via l’informatique et les techniques de l’Internet, ou d’espionnage, l’attaquant a tout intérêt à réussir à se maintenir de manière discrète le plus longtemps possible dans le système qu’il attaque.

En général les utilisateurs sont surtout sensibles au vol de leurs coordonnées bancaires. Il y a encore une peur à acheter sur Internet et à se voir voler les codes d’accès pour acheter sur internet avec sa carte de crédit. Mais au-delà de ces peurs centrées sur les aspects financiers, il y a bien d’autres atteintes et attaques que peuvent subir Monsieur Tout-le-Monde. Ces atteintes aux personnes sont selon les cas:

• La diffusion de contenu offensif (cela va de la propagation de virus, à la diffusion de pornographie, scènes de violence à laquelle vous allez être obligé de d’être confronté, de l’incitation à la haine raciale avec la diffusion de propagande à caractère raciste ou xénophobe);
• La diffamation, l’intimidation et le chantage;
• Le harcèlement et les injures;
• Mise à mal de vos données à caractère personnel, celles qui concernent la vie privée et l’intimité;
• La prise de contrôle de l’ordinateur par le cyber attaquant;
• Le vol ou la destruction de vos valeurs de ressources quelles qu’elles soient, même vos scores sur un jeu vidéo;
• Les escroqueries, les fraudes, les abus de tout genre;
• Le détournements des capacités informatiques avec du vol de temps de processeur de votre machine;
• Les atteintes au secret professionnel, les atteintes à la réputation les atteintes à l’image de la personne.

Comme cette liste le montre, il nous faut bien comprendre que nous sommes tous un peu comme le Candide de Voltaire. Nous sommes loin du Net merveilleux et de ses principes fondateurs louables. En tant que personne, nous faisons face à des tentatives d’atteintes possibles et à des attaques récurrentes. Nous savons que comme les Etats, comme les entreprises, les individus sont devenus une cible comme une autre, travaillée à grande échelle mais avec de plus en plus de précision et de performance par des cyber attaquants.

Parmi les cyber attaques individuelles que nous repérons le plus facilement, ce sont celles qui sont dans la partie émergée et visible.

Ainsi, ce ne sont pas les attaques de nos téléphones portables (eux-mêmes connectés à nos autres appareils) auxquels nous pensons. De même, nous ne pensons pas à l’Internet des objets (ou IoT : Internet of Things) que pourtant les spécialistes cyber déclarent être l’internet des menaces (Internet of Threats). L’explication de la menace qu’ils représentent est que tous ces objets connectés que vous avez à la maison, que ce soit l’enceinte conectée (active en permanence), la lampe connectée, le réveil, le matelas, le frigidaire, etc, tous ces objets connectés sont très facilement attaquables parce qu’aujourd’hui, ils ne sont pas suffisamment protégés contre les cyberattaques. De plus, ils donnent des informations utiles sur votre environnement de vie et vos habitudes. Votre aspirateur connecté peut donner les plans précis de la maison. La combinaison de votre brosse à dent connectée et de l’activité de votre smart TV indique votre heure de coucher. Votre application domotique de mise en route des chauffages pour que la température soit agréable quand vous rentrez à la maison donnent vos horaires d’absence… Bien détournés, tous ces objets connectés, actuellement encore trop peu protégés, sont des aides utiles pour un cambrioleur par exemple.

Les attaques auxquelles nous pensions sont entre autres, les tentatives d’hameçonnage (ou de phishing) qui semblent les plus aisées à identifier. C’est par exemple:

• Usurpation d’identité d’un tier de confiance et exploitation des techniques d’ingénierie sociale. L’idée est que l’on essaye de nous tromper en nous faisant croire que l’on reçoit un message d’une entité de confiance, ou c’est « un ami » qui vous écrit pour vous dire « au secours j’ai un problème, je suis en vacances à tel endroit, j’ai perdu ma carte bleue, je n’ai plus d’argent il faut vite que tu m’envoies quelque chose ».
• C’est aussi quand nous recevons un e-mail qui va vous proposer d’être remboursé des impôts ou d’un trop payé de votre part. Ils vous proposent de vous les rendre, mais il faut leur donner les coordonnées bancaires.
• Eventuellement, c’est aussi quand on vous annonce que vous avez gagné un magnifique lot de quelque chose et que l’on vous propose d’aller de nouveau sur un site.

Toutefois, fort de nos capacités d’analyses, nous pouvons aussi réagir et résister. Ainsi, face à des sites un petit peu trop aguichant, trop intéressant, il est possible de les signaler soit via le système Pharos, soit via le site de « Signal Spam ».

Et de plus, comme nous gardons un naturel optimiste, nous pensons que nous ne sommes pas crédules et que nous sommes suffisamment intelligents. Nous voyons les fautes d’orthographes qu’il y a dans ses emails qui sont mal faits. Pour autant si aujourd’hui on ne se fait pas prendre au jeu, si aujourd’hui, on est suffisamment malin pour comprendre que c’est une attaque, que c’est du phishing et bien peut-être que demain, nous nous laisserons abuser, peut-être que quelqu’un d’autre, à un autre moment, est en train de se laisser abuser et c’est pour ça finalement que les tentatives de phishing est ce qui fonctionne le mieux.

Enfin, nous en avons moins connaissance, mais il y a d’autres données, d’autres éléments, d’autres attaques qui peuvent être aussi très ennuyeuses. Il s’agit des attaques d’usurpation d’informations personnelles. Au départ, vous vous dites « Cela ne m’arrivera pas. Je ne suis personne, je ne suis pas un grand espion, je ne suis pas un grand inventeur, je ne suis pas le dirigeant d’une multinationale, … qui aurait besoin d’aller voler mes coordonnées, qui aurait besoin d’aller voler mon identité ? Ce n’est pas avec moi qu’on va pouvoir faire de l’arnaque au Président ! ». Détrompez-vous car les informations qui vous décrivent et qui s’appuient donc sur l’existence d’une personne réelle, vous, peuvent être utilisées par un cyber criminel pour opérer un délit en se faisant passer pour vous. Quand quelqu’un a l’intention de commettre un délit, il cherche à se cacher derrière un autre nom quel qu’il soit. Alors, peut-être le vôtre, peut-être le mien, … Si Monsieur ou Madame Tout-le-Monde ne sont pas à l’abri de ces cyber attaques basées sur l’usurpation d’informations individuelles, ils préfèrent ne pas y penser et se dire que cela n’existe pas « vraiment ». Conséquence de ce confort d’être à la fois insouciant ou négligeant et d’être dans le déni du sujet des cyber risques individuels, 7 français sur 10 sont persuadés qu’ils n’ont pas vraiment besoin de protéger leurs données personnelles et peuvent avoir des comportements négligeants vis à vis de la protection de leurs données personnelles.

En conclusion, les problèmes cyber sont devenus la norme. Cela fait désormais partie des données de l’environnement, du monde dans lequel nous vivons. Mais nous restons souvent un peu naïfs à penser que cela ne sera pas grave.

De leur côté, conscients des risques et ne cessant de nous alerter pour prendre plus de précautions, nous aurions bien tendance à considérer que les informaticiens voient toujours tout en noir et sont profondément pessimistes.

Le problème majeur qui reste actuellement tient au fait que, dans les représentations, la cyber est encore considérée majoritairement comme une affaire de spécialistes. Or, c’est un piège dangereux que de croire que la cybersécurité s’arrête et ne concerne que le monde professionnel et des spécialistes à laquelle on ne comprend pas grand-chose.

Certes, et à notre décharge, il faut avouer que les terminologies employées pour décrire les attaques sont difficiles à décoder: Ransomware, SQLi, XSS, Rootkit, APT, etc. Voilà des termes bien complexes issu d’un jargon métier bien précis. Face à ceux-là, on comprend l’expression « email contrefaits » ou « hameçonnage » et l’image de « l’arnaque au Président » fait un peu sourire.

Toutefois, comme nous fonctionnons et vivons au sein de collectifs, et même si l’on pense que l’on n’y com-prend pas grand-chose, il y a quand même de bonnes pratiques numériques que nous sommes tous en capacité de mettre en œuvre de manière à éviter qu’il y ait une cyberattaque qui nous viserait et qui pourrait aussi viser l’organisation dans laquelle nous travaillons ou qui nous enseigne, ou le pays et le territoire local et la commune où nous résidons.

◁ Précédent | ⌂ Sommaire | Suivant ▷