1. Introduction

Des distributeurs bancaires ont été utilisés pour enregistrer des paris clandestins. Le rançongiciel WannaCry a bloqué plus de 300 000 ordinateurs en quelques heures. Pour que leurs données soient à nouveau accessibles, il a exigé une rançon, payable en cryptomonnaie. On pourrait multiplier les exemples. La plupart des services et des machines faisant appel aux technologies numériques, les attaques informatiques se sont multipliées depuis l’apparition des premiers virus dans les années 1970. Les vers, chevaux de Troie, rootkits et autres malwares s’en prennent désormais à l’hôpital ou au réseau ferré.

Beaucoup de ces attaques restent secrètes, car leurs auteurs préfèrent souvent l’ombre à la lumière. Pour un black hat, les exploits « 0-day », c’est-à-dire non divulgués sont même recherchés. Car ils ne font pas l’objet de contre-mesures. Les victimes peuvent également cacher leur faiblesse. Ce fut le cas pour le passeport électronique français jusqu’en 2010.

Ces dernières années ont été marquées par le déploiement du Bitcoin, qui permet de réaliser des transactions anonymes – une aubaine pour les réseaux criminels – et les interventions hostiles des États dans le cyberespace. Dans les années 2010, l’américain Stuxnet a bloqué les centrifugeuses iraniennes autorisant l’enrichissement de l’uranium. Plus récemment, le groupe APT 28, soupçonné de collusion avec le pouvoir russe, s’est ingéré dans la campagne électorale américaine. Il a aussi été soupçonné d’être à l’origine de l’attaque contre TV5 Monde.

Une attaque peut donc viser un individu, une entreprise ou une société tout entière. Et ses cibles ne sont pas toujours là où on le pense. C’est en infiltrant 150 000 objets connectés que le botnet Mirai a bloqué OVH et DYN, empêchant l’accès aux plateformes (Amazon, Twitter, etc.) pendant 24 heures. Un botnet, résume Jean-Yves Marion, est « un ensemble d’ordinateurs ou d’objets intelligents affectés qui sont interconnectés » (p. 106). C’est le vecteur idéal pour des campagnes de spam, ou des attaques par déni de service, qui consistent, par exemple, à bloquer un serveur en l’inondant de requêtes.

2. Tout part d’un bug

Ici comme ailleurs, les attaquants ont exploité une faille. Et c’est justement l’existence d’une faille qui autorise une attaque. Certaines vulnérabilités sont historiques ou génériques. « Internet n’a pas été conçu avec la nécessité d’identifier un individu sur de multiples services », rappelle ainsi Christophe Rosenberger (GREYC, Caen). Mais toutes renvoient à un bug, c’est-à-dire une erreur de conception qui permet une intrusion.

WannaCry comme son homologue NoPetya ont exploité la vulnérabilité Ethernal Blue, liée au partage de fichiers et d’imprimantes de Microsoft (SMB : server message block). « Une vulnérabilité est une voie d’entrée qui est due à des données incorrectement gérées par un programme et qui d’une manière ou d’une autre les considérera comme des instructions à exécuter » (p. 112). L’attaquant injecte par exemple une instruction dans une URL ou, de manière plus sophistiquée, il envoie un code malicieux d’une longueur telle qu’il écrira dans la partie exécutable de la mémoire. Cette attaque « par débordement de mémoire » peut fonctionner dans l’autre sens : l’attaquant demandant une information très longue, il récupère des mots de passe dans un protocole cryptographique, typiquement TLS (transport layer security) utilisé sur le Web.

« L’exploit, c’est-à-dire l’utilisation de plusieurs bugs à des buts malveillants joue le rôle d’une porte d’entrée dans l’ordinateur hôte » (p. 113). Une fois dans la place, le code malveillant privilégie les méthodes « d’élévation de privilège » pour prendre le contrôle de la machine hôte, selon des instructions transmises par le C&C (command and control) de l’assaillant, à laquelle le dropper (programme d’amorçage) commence par se connecter. Il lui faut donc se dissimuler, voire ouvrir de nouvelles backdoors, car les contre-mesures rendent ces interventions de plus en plus complexes. Mais les exemples donnés par les auteurs montrent que les attaquants ont non seulement de l’imagination, mais aussi un grand savoir-faire. Certains de leurs programmes se présentent désormais sous forme « packée », c’est-à-dire chiffrée et/ou compressée. Difficilement décelables, leur déchiffrement permet des auto-modifications pour rester discrets.

3. Une longueur d’avance

Le progrès dans la recherche pure ou appliquée suscite donc une « course infernale entre bons et méchants (p. 17), comme l’illustrent le procédé « anti-copie » des DVD (cassé) ou les clés de chiffrement à 128 bits (obsolètes). Les nouveaux services numériques véhiculent par ailleurs de nouvelles problématiques. À l’image de Strava, une application mobile destinée aux sportifs, pour suivre et partager leurs performances. Les informations sont anonymes, mais en 2018, comme les militaires français et américains faisaient eux aussi du jogging, la géolocalisation des parcours a permis de repérer leurs bases secrètes en Syrie et en Afghanistan. Cet exemple montre que la sécurité renvoie au comportement de l’utilisateur (qui ne procède pas toujours aux mises à jour nécessaires…). Elle a donc un aspect social.

Qui suspecterait la pièce jointe que vous envoie un supposé correspondant connu ? Au croisement de l’ingénierie sociale et de l’ingénierie technologique, l’usurpation d’identité constitue donc un problème majeur en termes de sûreté. Une authentification fiable peut passer par la biométrie, mais il existe d’autres solutions : du code bancaire envoyé sur votre téléphone à FranceConnect.

4. Prévenir, c’est guérir

Les attaques informatiques se présentent sous des formes diversifiées ; elles se déploient à des échelles différentes, avec des objectifs variés. D’où la nécessité de les prévenir. La sécurité doit porter sur chacun des maillons de la chaîne informatique et elle doit être intégrée en amont.

Si une application parfaite est difficile à concevoir, « de nombreuses solutions logicielles sont développées sans prendre en compte la problématique de la sécurité, déplorent les auteurs. Ce qui est réalisé dépasse souvent l’imaginable. On peut ainsi trouver des produits vendus à plusieurs centaines de millions d’exemplaires, qui sont vulnérables à des attaques connues par la communauté scientifique depuis plus de quinze ans » (p. 11).

Les chercheurs et les ingénieurs, que la pression financière ne doit pas absoudre, affrontent aujourd’hui 13 défis majeurs, que présentent les chapitres de l’ouvrage : la valeur des données personnelles, les questions posées par le Règlement général sur la protection des données (RGPD), les enjeux éthiques de l’apprentissage machine, les identités numériques et l’identification, le tatouage de données multimédias, les virus informatiques, l’analyse forensique, la cryptanalyse de primitives cryptographiques, la cryptographie post-quantique, la sécurité des données dans le cloud, la preuve des protocoles cryptographiques, le vote électronique, les bitcoins et la blockchain.

5. Cryptez !

Au-delà des chapitres, techniques, qui leur sont explicitement consacrés, la cryptographie et la cryptanalyse ou « étude de la sécurité des primitives cryptographiques », apparaissent comme un fondement de la protection informatique. Le cryptage et le décryptage des données constituent en effet l’ossature sécuritaire de nombreux services et protocoles : échanges avec le cloud, télévision à péage, etc. Le chiffrement intervient également dans le fonctionnement du Bitcoin. C’est même une des caractéristiques de cette monnaie qui se passe d’autorité de confiance, et permet des transactions anonymes, bien que publiques.

Le protocole Helios, proposé par Ben Adida en 2008, fait également appel au cryptage pour sécuriser le vote à distance. Il se base sur le chiffrement homomorphe pour le dépouillement, et sur la preuve à divulgation nulle, lors de la phase de vote.

La cryptographie a connu un véritable tournant en 2015, avec le concept de chiffrement à clef publique (qui a valu le prix Turing à ses auteurs). Elle suscite de nombreuses recherches, en particulier sous l’égide du National Institute of Standards and Technology (NIST) qui organise des challenges collectifs pour casser des codes. Si une faiblesse est identifiée, elle est traitée. Si l’algorithme résiste à toutes les attaques, il est considéré comme fiable.

C’est pourquoi il est impératif d’utiliser des protocoles publics validés, que le chiffrement soit symétrique (plus efficace, mais avec un échange de clés qui peut être problématique) ou asymétrique (lent et coûteux, mais sans échange de clefs). Le chiffrement AES, un des plus documentés au monde, est aussi l’un des plus sûrs.

6. L’attaquant

La sécurité peut et doit aussi s’appréhender du côté de l’attaquant. Pour Jean-Yves Marion, les motivations de l’agresseur renvoient à quatre objectifs : extorquer de l’argent, extraire des données sensibles (comme des mots de passe), gagner quelque chose (une e-réputation ou des bitcoins), manipuler ou détruire des données.

Ces délits potentiels suscitent des réponses adaptées, en lien avec les trois principes fondamentaux de la sécurité informatique, que réunit l’acronyme CIA : la confidentialité (une information n’est accessible qu’à ceux qui sont autorisés), l’intégrité (une donnée ou un système n’est modifiable que par ceux qui en ont la permission) et l’accessibilité (qui veut qu’un serveur ne soit pas bloqué).Mais une attaque est liée à un écosystème. Les black hats disposent de plateformes d’exploit qui identifient des vulnérabilités, permettant ainsi de les exploiter. « Il y a une sorte d’économie dans laquelle les systèmes numériques compromis sont loués à de nouveaux acteurs pour d’autres activités » (p. 115). À l’image du botnet bancaire Dridex.

Pour l’attaquant toutefois, le jeu doit en valoir la chandelle. Si un réseau de distribution d’eau a été utilisé pour miner de la cryptomonnaie, c’est qu’il répondait favorablement à une analyse de type coût/avantage.

7. Protéger les données personnelles

L’analyse forensique montre que nos activités numériques laissent de multiples traces, que les enquêteurs utilisent pour confondre les criminels : qu’il s’agisse d’exploiter un téléphone ou le calculateur d’un véhicule.

Nos données personnelles sont en effet captées et exploitées. Considérées comme « le pétrole du XXIe siècle » dès lors qu’elles sont mutualisées, elles font l’objet de trois marchés. Le marché primaire, celui de la collecte, se présente comme une transaction avec contrepartie, alors que les marchés secondaires et tertiaires sont typiquement commerciaux. Ils concernent les courtiers de données (data brokers) qui agrègent les données pour construire des profils à la demande, et leurs clients qui les utilisent pour des campagnes de marketing ou pour prédire des comportements politiques. Les grandes plateformes regroupent tous les segments, ce qui accentue le déséquilibre entre les individus et les collecteurs/exploitants, grands bénéficiaires du dispositif.

Faut-il pour autant adopter une approche économique en marchandant ses données personnelles ? Nos données relèvent-elles du marché ou de nos droits fondamentaux ? Le RGPD adopte une logique de responsabilisation, mais il s’inscrit dans une perspective de consentement qui aboutit à un paradoxe : « Le soin juridique mis à préciser ce qu’est un comportement effectif se renverse du point de vue du comportement en son contraire : une mécanique de l’acceptation » (p. 26)… qui va croissant avec le développement des objets connectés.

À supposer que nous refusions de diffuser des informations personnelles, sauf pour des enquêtes médicales par exemple, considérant que nos données participent d’un bien commun, quels dispositifs nous offrent une garantie ?

8. Des enjeux de société

Pour Daniel Le Métayer, « l’effectivité du RGPD est subordonnée à l’existence d’outils techniques permettant de mettre en œuvre un certain nombre de dispositions ». Or l’analyse d’impact relative à la protection des données (APID) que doit mener le responsable du traitement fait l’objet de peu de recherches, alors qu’elle définit les risques d’atteinte à la vie privée. Faut-il évaluer la vraisemblance des facteurs de risque sous forme d’arbres de menaces ?

L’application du RGPD soulève d’autres questions : comment retirer son consentement, par exemple ? Si des outils ont été mis au point (démarche de privacy by design, guides du European Data Protection Board, etc.), il est impératif que la recherche se poursuive, et que les autorités en charge de la protection soient renforcées. Sinon, le RGPD ne sera qu’un tigre de papier.

On voit que la sécurité informatique recoupe des enjeux de société. Elle s’infiltre même dans les opérations électorales : lors des campagnes et lors du vote. C’est pourquoi le scrutin par Internet proposé aux Français de l’étranger n’a pas été renouvelé en 2017. Comment assurer à la fois le secret du vote et l’intégrité du résultat ? Le protocole français Belenios (issu de Helios) évite maintenant les problèmes de bourrage d’urne, « même si l’urne est malhonnête ». Mais, il est trop tôt pour confier son bulletin à Internet lors de scrutins à forts enjeux. Pour l’instant.

9. Conclusion

Au cours des dernières années, la recherche a conduit à développer des outils efficaces pour se prémunir des attaques informatiques, à l’image de https, de CryptoVerif, des outils biométriques ou du logiciel Metasploit (https://www.mestasploit.com). Dans ces avancées, les modèles théoriques, en particulier mathématiques (outils euclidiens, polynômes multivariés…) , jouent un rôle croissantAujourd’hui, deux domaines de recherche s’annoncent particulièrement prometteurs : la cryptographie, « vitale pour pour garantir la sécurité de notre société du numérique » (p. 145) et les blockchains, porteuses d’une technologie de rupture. « Arriver à se passer d’une autorité centrale pour assurer sa sécurité est un changement de paradigme qui offre de nombreuses perspectives », soulignent les auteurs (p. 224).

Des attaques sont possibles (pour contrôler les nœuds du réseau, par exemple) mais la recherche progresse rapidement, dans la perspective de contrats intelligents : des programmes autonomes « qui facilitent, vérifient et exécutent la négociation ou l’exécution d’un contrat ». Des contrats de confiance, puisqu’avec une blockchain, « ce qui est prévu s’exécute toujours » (p. 214).

10. Zone critique

Comme l’indique son avant-propos, cet ouvrage s’adresse à un public de chercheurs et d’ingénieurs. Les formules mathématiques (non retenues ici) en témoignent. Rien n’indique cependant qu’un spécialiste de l’identification sur le Web soit familier avec les ordinateurs post-quantiques et la taxonomie de Seda Gürses. Malgré le souci pédagogique des auteurs, les prérequis sont donc les bienvenus.Mais c’est le prix à payer pour ce genre d’exercice, qui tranche avec les nombreux titres qui abordent la sécurité informatique en termes très généraux, c’est-à-dire sans réelle consistance pour des praticiens.

En d’autres termes, au-delà d’un état de l’art, le mérite de cet ouvrage spécialisé est aussi de renvoyer à une abondante littérature (en anglais, sauf exception) où le lecteur trouvera des développements utiles et up to date.

11. Pour aller plus loin

Ouvrage recensé– Gildas Avoine et Marc-Olivier Killijian (dir.), 13 défis de la cybersécurité, Paris, CNRS éditions, 2020.

Autres pistes– Martine Béhar-Touchais (dir.), L'effectivité du droit face à la puissance des géants de l'Internet, Paris, IRJS éditions, 2015.– Jean-Guillaume Dumas, Pascal Lafourcade, Ariane Tichit, Sébastien Varrette, Les blockchains en 50 questions, Paris, Dunod, 2019.– Christophe Masutti, Affaires privées. Aux sources du capitalisme de surveillance, Caen, C&F éditions, 2020.