Sécurité informatique : paranoïa d'aujourd'hui, réalité de demain

Quand internet a ouvert ses portes au monde académique, vers la fin des années 1980, rejoint quelques années plus tard par le World Wide Web, la sécurité informatique, du point de vue du public, n'était pas vraiment considérée comme faisant parti de l’équation. Toute  personne parlant de vulnérabilités et de problèmes de sécurité (hackers) se voyait rapidement affublée de l’adjectif « paranoïaque ». Ce n’est qu’après l’épidémie du virus « ILOVEYOU », en 2000, qui a été responsable de l’infection à grande échelle d'ordinateurs Windows (parmi lesquels un certain nombre d'ordinateurs au CERN), que la sécurité informatique est devenue une réalité.

 

De même, les avertissements sur la faiblesse et l'absence de sécurité des systèmes de contrôle émis par le CERN et tant d'autres (voir notre article du Bulletin intitulé « Pirater les systèmes de contrôle, éteindre les lumières ») ont été ignorés, jusqu'à ce que l'attaque Stuxnet contre des systèmes de contrôle en Iran, en 2010, prouve leur pertinence. La réalité a fini par rejoindre la paranoïa. L'année dernière, la peur paranoïaque d'experts de la sécurité informatique, qui laissaient supposer que toute l'infrastructure informatique avait pu être infiltrée et mise sur écoute, s'est, à son tour, révélée être fondée (à en juger par les révélations d'Edward Snowden (voir notre article intitulé « Sécurité contre Nations : une bataille perdue ? »)). Paranoïa contre réalité : trois coups d'avance. Et le prochain se rapproche...

Internet est en constante évolution, s'éloignant de plus en plus d'un simple outil de partage de l’information, et se dirigeant de plus en plus vers un « internet des objets », comprenant tout un ensemble d'instruments publiant des données en grande quantité, intéressantes ou non, pour tous ceux qui « écoutent » : beaucoup de consoles de jeu, et même, de télévisions, ont besoin d'une connexion à internet, pour une « expérience de divertissement enrichie ». Même les voitures sont connectées puisque leurs systèmes de divertissement peuvent être connectés à votre téléphone. Dans un futur proche, elles pourraient même discuter entre elles et avec les feux de circulation afin d'optimiser le trafic. Les « compteurs intelligents » mesureront votre consommation électrique chez vous en continu et partageront cette information avec votre fournisseur d'énergie, potentiellement par internet. Nest Labs, récemment acheté par Google, fait de même avec votre chauffage et votre climatisation. Certaines machines à espresso ont un port USB pour vous permettre d'ajouter vos recettes préférées et ainsi rendre votre café plus à votre goût. Là aussi, internet attend au prochain tournant.

Le risque perçu par les paranoïaques ? Tous ces équipements utilisent une forme ou une autre de système d'exploitation. Mais comparés à ceux de nos ordinateurs, les vendeurs de ces équipements n'ont pas de réelles motivations pour fournir en continu des mises à jour et des patches de sécurité. Même certains fabricants de smartphones sont très lents pour fournir les mises à jour de firmware pour leurs gammes de produits plus anciennes. Pourquoi s’attendre à mieux de la part des fabricants de machines à café connectées à internet ou de systèmes de chauffage contrôlables depuis votre tablette ? Et la réalité a à nouveau rejoint la paranoïa : des vulnérabilités* ont été identifiées dans des systèmes de chauffage allemands et certains réfrigérateurs (!) se sont révélés être les expéditeurs de SPAM au monde entier.

Conclusion ? Être paranoïaque n'est pas si mal. Cela signifie peut-être simplement que vous êtes en avance sur votre temps. Au CERN, nous écoutons davantage notre intuition. Avons-nous suffisamment de mesures de sécurité en place ? Nos données sont-elles protégées convenablement ? Nos habitudes de développement et de vérification de nos systèmes sont-elles encore adéquates maintenant que tout est interconnecté ?

Dites-nous dans quel(s) domaine(s) de la sécurité informatique au CERN vous investiriez ; ce qui, selon vous, nécessite des améliorations ; et ce qui peut simplement être ignoré, en envoyant un courriel à Computer.Security@cern.ch. Soyez paranoïaques !

* Après quoi, le vendeur correspondant a suggéré aux personnes concernées de déconnecter le câble ethernet…


Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team