La composante « cyber » devient peu à peu la composante principale des sociétés dites « modernes » [1]. Il n’est pas un aspect de nos vies – pour le meilleur et pour le pire – qui ne soit maintenant pas fortement voire totalement dépendant du digital. Mais pour la première fois de notre Histoire, cette « révolution » technologique ne vient pas s’ajouter aux autres révolutions, dans une complémentarité productrice de richesses et génératrice de sécurité, mais elle remplace peu à peu ces dimensions et les fait disparaître.
Par Éric Filiol
Si l’avion n’a pas éludé le train, le mail a, lui, engendré la fin du télégramme et peu à peu du courrier. La disparition de la monnaie fiduciaire est elle, déjà programmée. Bon nombre de métiers sont déjà directement menacés. Cette dépendance oblitératrice de l’existant adopte la démarche des « œufs dans le même panier » et oublie, pour ne pas dire nie, la nécessité de conserver des composantes alternatives. Toute entreprise, dans le cadre de son Plan de Continuité d’Activité (PCA) et de son Plan de Reprise d’Activité (PRA), sait que ces composantes alternatives constituent un moyen de secours. Or, les Etats dans leur course folle au numérique, n’ont plus/pas de PCA/PRA.
Le monde digital est arrivé trop vite, au mépris de classes entières de nos populations (les personnes âgées, les salariés non formés, les plus démunis), sans aucune maîtrise véritable et compréhension suffisante des impacts. Incompétence ? Fatuité et vanité humaines ? Cette explication serait à la fois trop simple et trop facile même si, il faut l’avouer, elle constitue la plus grand part de l’inconscience collective qui nous menace.
Une faiblesse systémique
Nous contrôlons de moins en moins cette dimension digitale qui nous dévore : technologies non maîtrisées, manque de formation, développement logiciel calamiteux en termes d’exigences de sécurité, manque de spécialistes… Les Etats, en catastrophe, tentent de rattraper un retard déjà trop important. Le résultat est que nos systèmes deviennent généralement et systémiquement trop faibles, non sécurisés et ouverts aux attaques. Les attaques informatiques augmentent en nombre, en fréquence, en gravité, avec une très nette accélération depuis la crise de la COVID-19 (multiplication par 5 des tentatives d’attaques visant les serveurs depuis mars, par exemple).
Cette dimension cyber est devenue une faiblesse systémique qu’entendent exploiter mafias et cybercriminels et certains pays (en premier lieu, la Russie, la Chine, l’Iran, la Corée du Nord) qui ont parfaitement compris que notre talon d’Achille était numérique. La situation est devenue telle que les cyberattaques constituent en 2019, les 4e et 5e risques majeurs mondiaux, le premier d’origine humaine [2]. Ces derniers mois ont montré l’étendue des dégâts et le paiement des rançons lors de la prise en otage numérique des entreprises (hôpitaux, sociétés, collectivités locales…) est devenue d’une rentabilité incroyable pour ces attaquants [3].
Fort de notre esprit naturellement manichéen, nous serions tentés alors de séparer le monde en deux clans : les gentils Etats, victimes des méchants pays voyous et autre mafias cybercriminelles. Malheureusement, la réalité est tout autre. Le monde digital est beaucoup plus gris et glauque que nous le croyons ou voulons le croire.
Maintenir un niveau minimal d’insécurité
De tout temps le contrôle de la technologie a été un souci constant des puissances du moment mais les technologies du numérique sont très certainement celles faisant le plus l’objet de ce contrôle [4]. Car contrairement aux technologies militaires ou industrielles, domaines par nature spécifiques, le numérique touche maintenant tout le monde.
Fort de ce constat, tous les Etats ont compris qu’un environnement totalement sécurisé n’était pas possible mais pire, nullement souhaitable. Ces Etats entretiennent donc un niveau minimal d’insécurité permettant de contrôler ces technologies, de les utiliser dans leurs œuvres de renseignement, de police, de surveillance de masse des citoyens, de guerre « digitale froide ». Chaque pays agit dans ce domaine avec les moyens dont il dispose : l’hégémonie technologique de la Chine (dans le domaine des télécommunications et de l’électronique) et des USA (dans les domaines des services et de l’édition logicielle) donne à ces deux pays une position prééminente dont ils profitent abusivement contre leurs citoyens et les autres Etats. La loi nationale du renseignement chinois de juin 2016 et les très nombreux textes similaires aux USA (et maintenant dans beaucoup de pays européens dont la France) permettent d’organiser et d’exploiter cette insécurité globale minimale [5] [6] [7].
L’une des plus grosses attaques informatiques de ces dernières années (Wannacry et NotPetya) est due à des fuites de failles volontairement non corrigées et détenues par la NSA (les fameux 0-Days dont la faille Eternal Blue) et utilisées par les Russes et les Nord-coréens [8]. Les attaques de la Chine contre les télécommunications occidentales [9,10], profitant des matériels qu’elle vend et qu’elle a piégés, se multiplient. Le marché de failles dites 0-days explose et les primes offertes également [11]. Le marché privé des logiciels et services d’attaques existe officiellement : InFisher, Darkmatter, Anomaly Six LLC [12] et consorts sont des officines maintenant bien connues.
Par exemple, les mercenaires numériques comme NSO Group sont responsables d’attaques venant d’Arabie Saoudite [13]. Les plus grosses entreprises mondiales de la tech (GAFAM et BATX) sont priées de collaborer souvent activement avec les services de renseignement [14, 15]. Les exemples sont tellement nombreux qu’il n’est désormais plus possible de les énumérer tous. Même les pays européens sont de plus en plus tentés d’ouvrir cette boîte de Pandore. Ils glissent doucement mais inexorablement vers une société de surveillance, dans laquelle les procédures administratives, difficilement contrôlées, prennent le pas sur celles judiciaires, notre seule vraie garantie démocratique. Là encore, pour pouvoir agir, il est nécessaire qu’un certain niveau d’insécurité soit maintenu.
Une douce fable
Pourquoi une boîte de Pandore ? Parce que cette insécurité profite également et finalement surtout aux mafias et Etats voyous. In fine nous ne contrôlons plus rien. Le monde manichéen dans le monde numérique est donc une douce fable.
Une solution existe-t-elle alors ? Oui. Et elle est politique et économique. Politique en interdisant l’exploitation et la commercialisation des failles 0-Days. A ce jour, leur vente et exportation sont règlementées par les accords Wassenaar. En frappant d’amendes très lourdes les entreprises dont le développement logiciel est d’une qualité souvent lamentable et intolérable. En pénalisant leur régulière collusion avec des services de renseignement. L’industrie aéronautique, au prix certes de ressources importantes, est parvenue à une sécurité logicielle beaucoup plus satisfaisante que celle de Microsoft ou d’Apple, qui engrangent les milliards que nous leur donnons. Il est vrai que le crash d’un avion faisant 300 morts frappe davantage les mémoires et les esprits que les 8 milliards d’euros de dégâts de l’attaque Wannacry [16], imputables indirectement à Microsoft et à la NSA, lesquels jouent constamment avec le feu. Economique en créant, nous européens, notre souveraineté technologique avec des valeurs éthiques fortes interdisant et criminalisant cet usage et cette gestion contestables de la technologie numérique. Politique encore en inscrivant dans la Constitution Européenne le respect de la vie privée et la sécurité numérique comme des droits fondamentaux inaliénables.
N’oublions jamais que la technologie numérique impacte maintenant les moindres aspects de nos vies. C’est une technologie éminemment civile. Elle devrait être un facteur de liberté et de sécurité et non d’asservissement et de contrôle.
[1] EU Commission. Cybersecurity, Our Digital Anchor.2020, https://ec.europa.eu/jrc/en/publication/eur-scientific-and-technical-research-reports/cybersecurity-our-digital-anchor
[2] Forum Economique Mondial. The Global Risks Report 2020. https://www.weforum.org/reports/the-global-risks-report-2020
[3] CERT-FR. Etat de la menace rancongiciel à l’encontre des entreprises et des institutions. 2020 https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-001/
[4] Eric Filiol. “The Control of technology by Nation States: Past, Present and Future – The Case of Cryptology and Information Security”. Journal in Information Warfare, Vol. 12, Issue 3, pp. 1–10, October 2013.
[5] https://theweek.com/articles/447844/why-obamas-response-heartbleed-bug-troubling
[6] Snowden Archives https://www.cjfe.org/snowden
[8] https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/
[9] Demchak, Chris C. and Shavitt, Yuval (2018) « China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking, » Military Cyber Affairs: Vol. 3 : Iss. 1 , Article 7.
https://doi.org/10.5038/2378-0789.3.1.1050
Available at: https://scholarcommons.usf.edu/mca/vol3/iss1/7
[11] https://zerodium.com/program.html
[12] https://www.developpez.com/actu/307921/Un-sous-traitant-du-gouvernement-americain-aurait-integre-du-code-de-pistage-dans-plus-de-500-applications-pour-pister-des-centaines-de-millions-de-personnes/