Sécurité contre nations : une bataille perdue ?

« Connais ton ennemi » est l'une des recommandations de base de l'ancien stratège militaire chinois Sun Tzu (544–496 av. J.-C.). Dans le monde informatique, les suspects habituels sont les « script-kiddies », les criminels et les « hacktivistes », mais il y a aussi les États-nations.

 

Les entreprises du monde entier se sont préparées, adaptées et ont concentré leurs défenses contre les trois premiers suspects. Le CERN aussi, malgré sa quête de liberté académique, réévalue en permanence les méthodes de prévention et de protection contre les attaques informatiques. Mais lorsque l'on ajoute les États-nations à la liste des adversaires, se défendre devient impossible pour tous (à moins de posséder énormément d'argent).

Aujourd'hui, les services informatiques les plus populaires d’Occident nous viennent des États-Unis. Nous savons déjà que les États-Unis et le Royaume-Uni interceptent des informations venant de Facebook, Google, Yahoo et autres (voir notre article paru dans le Bulletin « Prison ou « Prism » ? Vos données en garde à vue »). Mais qu'en est-il d'un niveau en-dessous ? Aujourd'hui, le matériel informatique tel que les routeurs, les ordinateurs portables et les smartphones sont construits en Chine.

Comment pouvons-nous être certains que ces appareils ne contiennent pas des puces destinées à les manipuler (espionner vos activités, bloquer des systèmes, détruire des données) depuis l’extérieur. Aujourd'hui, beaucoup de logiciels informatiques sont écrits en Inde. Comment peut-on être certain que les logiciels ne contiennent pas délibérément des bugs insérés durant la phase d'implémentation et offrant la possibilité d’espionner vos activités, de bloquer des systèmes, ou de détruire des données ? Le matériel et les logiciels informatiques sont désormais extrêmement complexes, rendant  la détection de fonctionnalités malicieuses difficile (voire impossible !) pour la plupart des organisations : les puces sont le plus souvent scellées, pour, selon les fabricants, protéger leur propriété intellectuelle. Les logiciels contiennent des millions de lignes de code. Même si le code est « open-source », le passer au crible peut être coûteux et difficile. Et pensez-vous que votre compilateur ne rajoute pas de fonctionnalités ? Au final, comprendre le code « assembleur » produit est un défi en soi. Même si vous arrivez à trouver une vulnérabilité, elle sera considérée comme un bug accidentellement introduit par des programmeurs négligeants ou mal formés, et non comme une modification délibérément injectée. Ce n'est pas sans raison qu'un certain nombre de pays ont leur propre programme de primes et payent pour des bugs et vulnérabilités logicielles récemment découvertes, ou qu'ils essayent (et réussissent !) de casser les protocoles de chiffrement standard. La Russie fait marcher l'un des plus gros marchés noirs de vulnérabilités et d’informations d'identification informatique.

Bien entendu, beaucoup d'autres nations se préparent pour notre futur informatisé. Néanmoins,  nous sommes à un nouveau tournant. Avec l'internet des objets, un terme déjà inventé en 1999 par le visionnaire Kevin Ashton, tous nos appareils seront interconnectés dans un futur proche. Dans les faits, nous vivons déjà en symbiose avec cet internet des objets. Nous restons là, immobiles, tels des grenouilles flottant dans une eau bouillant progressivement, tandis que des nations préparent l'internet des objets comme un nouveau champ de bataille qu'il faut infiltrer, saper et contrôler. Le « Grand Firewall de Chine », tout comme les programmes américains « Prism », ou anglais « Tempora », qui espionnent des citoyens innocents, sont de premières entailles faites à l'internet libre. L'attaque informatique « Stuxnet » contre l'Iran, généralement considérée comme la première jamais conduite, exploitait quatre vulnérabilités différentes, jusque-là inconnues (vulnérabilités « zero-day »), contre le système d'exploitation Windows XP, et probablement issues de programmes de primes américains et israéliens. Durant la guerre civile syrienne, l'« armée électronique syrienne » (« Syrian Electronic Army ») a mis hors ligne la page d'accueil du New York Times et celle de « Marines.com » pour afficher son pouvoir. Elle a aussi menacé de se venger plus sévèrement si les États-Unis bombardaient la Syrie.

Cependant, sans entrer dans la paranoïa, la bataille est-elle déjà perdue ? Notre vie privée est-elle perdue ? Combien de mesures de sécurité sommes-nous prêts à accepter avant que notre monde devienne celui de George Orwell dans 1984, ou celui d’Aldous Huxley dans Brave New World ? Peut-être la période de fêtes à venir est-elle le bon moment pour réfléchir et discuter de ce que chacun d'entre nous peut faire pour qu'internet reste un espace libre et public, et non un champ de bataille pour nations paranoïaques.

Profitez de la période des fêtes de fin d'année et bonne année 2014 !

Prenez soin de vous, de votre famille et de vos ordinateurs. Souvenez-vous que, chez vous tout comme au CERN, vous êtes, en première instance, responsables de la sécurité informatique de vos ordinateurs portables, smartphones et des autres ordinateurs que vous utilisez, des comptes et mots de passe que vous possédez, des fichiers et documents que vous détenez, des programmes et applications que vous avez installés ou, en particulier, développés, et des services et systèmes informatiques que vous gérez. Pour le CERN, l'équipe de la Sécurité informatique est prête à vous aider à assumer cette responsabilité.


Pour de plus amples informations, consultez le site de l'autorité de certification du CERN. Ou inscrivez-vous à nos cours dédiés à la programmation sécurisée.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team