À toutes les personnes merveilleuses qui s’intéressent à la sécurité informatique, qui veillent à la confidentialité de leurs mots de passe et de leurs identifiants, qui protègent correctement leur ordinateur portable et leur smartphone avec des systèmes d’exploitation et des logiciels anti-virus mis à jour régulièrement, et qui appliquent le devoir de diligence lorsqu’elles développent et exploitent leurs services informatiques ou leurs systèmes de contrôle, je n’ai qu’un seul mot à dire :
MERCI !
Merci de lire nos articles, de vous intéresser à la confidentialité et à la sécurité, et de chercher à en savoir plus sur ces questions. Merci, car vous êtes la génération qui peut changer la donne. Enfin, celle qui a le plus de chance de réussir, ma génération, celle de 1971, ayant fait de son mieux.
Le monde d’avant
Prenons, par exemple, les anciens téléphones à cadran. À l’époque, on ne craignait guère de se faire espionner : la question ne se posait que si l’on était dans le collimateur des autorités. Aujourd’hui, nous portons tous sur nous de petits appareils espions qui récoltent et transmettent toutes nos informations à caractère personnel, pas forcément directement aux gouvernements, mais à de grandes multinationales qui utilisent ces données pour gagner de l’argent. Nous échangeons des messages non plus par la poste, mais par WhatsApp, Threema, Signal et Telegram, chaque application utilisant ses propres méthodes pour en garantir (ou pas) la confidentialité. L’informatique en nuage est un véritable far west numérique. Les appareils photo argentiques ont cédé la place à Instagram et à TikTok. Apple a révolutionné notre manière d’écouter la musique. Les CD ? Dépassés. Les MP3 ? C’est fini. La télévision classique a été remplacée par Netflix, Amazon Prime et Disney +. Amazon et Google connaissent nos habitudes de consommation mieux que ne l’ont jamais fait les petits commerçants de quartier. Les informations sur nos activités sportives atterrissent sur Strava et Fitbit. Les applications répertorient le monde entier. Notre vie privée, autrefois soigneusement cachée, est devenue dangereusement transparente et publique. C’est la surveillance généralisée décrite dans toute sa splendeur par George Orwell dans son roman 1984. Heureusement que le règlement général sur la protection des données (RGPD) de l’Union européenne existe, mais c’est un garde-fou que les grandes entreprises s’acharnent à essayer de faire modifier et que les petites start-up tentent habilement de contourner.
De même que pour la confidentialité, la numérisation croissante observée ces dernières décennies a créé un lien symbiotique entre nos vies et la technologie. Sécurité physique et cybersécurité ne font plus qu’un. Aujourd’hui, tous les aspects de notre vie dépendent de la technologie. L’ampleur de cette dépendance varie d’un pays à l’autre. Prenons, par exemple, l’électricité. Dans la plupart des pays, l’électricité est « l’Anneau qui gouverne tout ». Sans électricité, pas de nourriture réfrigérée ou, pire encore, pas de médicaments. Sans électricité, pas de moyens de communication, ni d’eau courante, puisque les pompes à eau ont besoin d’électricité pour fonctionner, tout comme les stations-service. Sans électricité, pas de transports en commun. Et comment allez-vous payer vos courses ? Il vous reste peut-être quelques piles, ou un générateur diesel, mais qu’en est-il sur le long terme ? Nous vivons en symbiose avec une structure technologique. Avec l’électricité, et les systèmes de contrôle mis en place pour gérer cette structure. Autrefois, celle-ci n’était menacée que par les guerres et les bombes atomiques, par des États-nations dans un monde de plus en plus pacifique. Alors que nous pensions ces temps révolus, notre structure est maintenant bien plus exposée aux dangers. Plus besoin d’États-nations quand un petit groupe de criminels (financés par des États) peut causer de terribles dégâts. Les exemples ne manquent pas : les attaques contre Saudi Aramco ; l’utilisation de Stuxnet contre les centrifugeuses nucléaires iraniennes ; l’attaque des infrastructures ukrainiennes qu’auraient menée des pirates russes avant l’invasion de la Crimée ; l’attaque par rançongiciel contre Maersk, ou encore la menace que fait planer le groupe Conti sur le monde entier. La pandémie de COVID-19 et la guerre menée par la Russie contre l’Ukraine ont montré à quel point notre structure technologique est devenue fragile, combien elle est intrinsèquement peu sûre, et avec quelle facilité il est possible d’y mettre un terme. Les menaces contre cette structure ne sont pas près de disparaître.
Le monde à venir, avec tous ses nuages informatiques, exigera encore davantage de structure, d’interconnectivité, de technologie, de complexité. Autant de vulnérabilités supplémentaires, et des retombées plus graves en cas d’attaque. Les voitures autonomes communiquent entre elles et avec les feux de signalisation. Les villes deviennent intelligentes. Des magasins où le paiement est dématérialisé utilisent les radiofréquences pour identifier les produits dans votre panier de courses et prélever automatiquement l’argent sur votre carte de crédit. Les réfrigérateurs commandent automatiquement les aliments manquants, livrés par drone dans les 10 minutes qui suivent. Dans ce nouveau monde, la boîte de Pandore est grande ouverte. Notre structure technologique a besoin d’être renforcée. La sécurité de l’internet des objets doit être améliorée. Les milliards de couches, de machines virtuelles, de conteneurs, d'interdépendances entre logiciels, ainsi que la rapidité d’adaptation, le DevOps et les compilations à la volée ont grand besoin que des spécialistes referment la boîte ; qu’ils fassent de la technologie un outil et non un fardeau ; qu’ils sécurisent par défaut chaque couche informatique. Pour cela, il faut donner une place centrale à la sécurité, au même titre que les autres grands principes de l’informatique : fonctionnalité, convivialité, maintenabilité, disponibilité... et sécurité. Les menaces ne s’arrêteront jamais, elles seront même de plus en plus sophistiquées. Nous devons donc lutter contre un nombre croissant de vulnérabilités et limiter les conséquences des attaques réussies.
À vous de jouer !
Aucun système ne sera jamais sûr à 100 % – les personnes qui font cette promesse mentent ou essaient de vendre quelque chose. Selon Nat Horward, « La sécurité sera toujours aussi mauvaise qu’elle peut l’être sans empêcher que tout fonctionne ». À cause de notre paresse et de notre ignorance, et parce que la sécurité est généralement considérée comme un facteur de coût qui présente peu d’avantages, la formule « pas cher, pratique, sécurisé – rayez la mention inutile » prévaut. Ainsi on accorde à la sécurité autant d’importance qu’au maillon le plus faible de la chaîne technologique. La sécurité est un problème humain, il s’agit donc d’un problème que les humains peuvent résoudre. Votre génération joue un rôle déterminant. Les premiers pas vers un avenir plus sûr et plus respectueux de la vie privée ont déjà été faits : un frein a été mis à la collecte de données par Facebook et Google, et WhatsApp ressemble de plus en plus à Threema ou Signal. Nous devons faire de la sécurité une priorité, et renforcer la « triade CIA », un modèle de cybersécurité reposant sur trois principes : la confidentialité (silence sur la vie privée, par exemple), l’intégrité (relevés bancaires exacts) et la disponibilité (accès à l’électricité en cas de panne de courant). À l’heure actuelle, l’industrie repose plutôt sur une triade inversée : disponibilité (votre supermarché), intégrité (la solidité du pont que vous traversez pour aller au supermarché), et confidentialité (la recette secrète du Coca-Cola).
Ma génération ayant été incapable de soutenir ces triades de manière continue, cohérente et efficace, nous vous passons le relais. Ensemble, oublions la formule « liberté, sécurité, praticité – rayez la mention inutile » (« Freedom, security, convenience – choose two ») de Dan Geer, et trouvons une manière d’appliquer chacun de ces trois principes à un niveau acceptable. Commencez à penser en termes de sécurité et de confidentialité. Si ce n’est pas déjà fait, apprenez à anticiper et à protéger, à planifier, concevoir, développer et créer des applications, des logiciels et des systèmes sûrs et respectueux de la vie privée. Apprenez à exploiter les systèmes de manière sécurisée et dans le respect de la vie privée : trouvez les faiblesses et les vulnérabilités, détectez les abus, et veillez à disposer d’un historique des événements suffisant. Si votre système est compromis par une attaque malveillante, utilisez les moyens dont vous disposez pour comprendre ce qu’il s’est passé, tels que l’analyse rétrospective, la gestion et la résolution des incidents.
En plus des formations WhiteHat et Zebra, qui auront lieu à nouveau très bientôt, nous sommes heureux d’annoncer que des formations en ligne dédiées à la sécurité sous toutes ses formes sont maintenant disponibles en permanence, grâce au service de formation des ressources humaines. La plateforme de formation SecureFlag propose des cours pratiques, des exercices et des environnements virtuels pour vous aider à améliorer vos compétences en développement de logiciels sécurisés, dans votre langage de programmation préféré (demo). Vous apprendrez à configurer vos systèmes, conteneurs et machines virtuelles et à exploiter vos services web et informatiques de manière sécurisée. Ces nouveaux cours spécialisés sont conçus pour remettre de l’ordre dans le chaos de la sécurité et de la confidentialité, dans votre intérêt et dans celui d’une organisation sûre. MERCI !
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel en anglais. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.