Données et Vie Privée - La Cybercriminalité (3/3)
Après avoir retracé brièvement la façon dont nos sociétés en sont arrivées à l’ère du Big data, et comment ce dernier est intrinsèquement lié à la vie privée et au combat pour la préserver, cet article portera sur l’importance de la protection du cyberespace, aussi bien pour les entités privées que publiques.
Une des prérogatives régaliennes les plus importantes est le monopole de l’Etat pour faire respecter et appliquer la justice. Une organisation étatique digne de ce nom ne peut tolérer qu’une autre entité s’occupe de la protection des citoyens, que cela soit dans le monde physique ou dans le monde digital. C’est donc à l’Etat de montrer la voie et de prendre des initiatives, de mettre en place des mécanismes assurant la protection virtuelle de ses citoyens. La cybercriminalité, qui se définit comme l’ensemble des activités illégales effectuées par l'intermédiaire d'Internet, est un fléau qui nécessite d’être combattu au même titre que la criminalité physique. Il existe différents types de cyberattaques : l’installation de programmes espions et de programmes pirates, le phishing (i.e. une technique de fraude dans laquelle les cybercriminels se font passer pour un tiers de confiance comme une banque, administration…), les intrusions, le vol d’informations, le ransomware (i.e. un logiciel malveillant prend en otage des données personnelles et une rançon est demandée en échange de la clef de chiffrement des données cryptées), et bien d’autres encore.
LES ATTAQUES D’ORIGINE PRIVEES
Un Etat fort numériquement est un Etat qui s’assure d’une protection, au moins contre les attaques de groupes privés. La plupart des attaques utilisant Internet sont l’objet de groupes non-étatiques, qu’il s’agisse de personnes motivées uniquement par l’argent, par un idéal de société ou par des revendications politiques. Le principal problème est bien souvent l’identification des auteurs des attaques, certaines n’étant pas revendiquées et ne pouvant être attribuées à un groupe ou une personne précise. Même si ces attaques ont lieu dans presque tous les Etats du monde, ceux n’ayant ni de politique ni de protection digitale claire ont largement moins de chances de limiter voire d’éviter tout dommage.
Même un Etat aussi avancé technologiquement et dépensant sans compter dans la sécurité comme les Etats-Unis ne sont pas à l’abri : le 20 décembre 2019 la compagnie aérienne américaine RavanAir a été victime d’une cyberattaque visant ses réseaux informatiques. Cette attaque a forcé la compagnie à annuler ses vols pendant plusieurs jours. A l’heure actuelle ne savons pas qui en sont les commanditaires. Que la cible soit une entreprise privée ou un organisme public n’a pas d’importance : en mai 2019 le réseau informatique de la ville de Baltimore est ainsi paralysé pendant plusieurs semaines à cause d’un ransomware, en décembre la ville de Francfort (un des plus grands centres financiers du monde) décide de fermer son réseau pour limiter la propagation d’Emotet (un malware qui infecte les systèmes puis gagne de l'argent en louant l'accès à des hôtes infectés à d'autres groupes de logiciels malveillants). En France plusieurs cyber-attaques ont eu lieu en 2019, marquées par une grande variété de cibles : des établissements publics (comme le CHU de Rouen) aux sociétés privées (M6, Altran, RTL…).
Mais ces attaques, dont les dégâts sont d’importance variables et deviennent de plus en plus planifiés et efficaces, sont à relativiser face à celles provenant d’Etats.
LES ATTAQUES ETATIQUES
Les Etats ou leurs services peuvent également être déstabilisés par d’autres entités étatiques. Les cyberattaques étatiques sont définies comme « des offensives sponsorisées par un État visant les réseaux informatiques d’un autre État ». Les nations ont toujours cherché à se déstabiliser au fil des siècles, que cela soit pour obtenir des renseignements ou simplement affaiblir un potentiel ou actuel rival, le cyberespace offre des nouvelles perspectives et un nouveau champ d’action. La liste des exemples prend de l’ampleur chaque année et n’ira qu’en se démultipliant : l’Office of Personnel Management aux États-Unis ou le réseau électrique ukrainien en 2015, la Banque centrale du Bangladesh en 2016…
Internet et la connectivité permanente de nos appareils, même aux plus hauts niveaux étatiques, laissent des traces difficilement protégeables totalement. Même si cela n’a pas été qualifié d’attaque puisque, ne soyons pas naïf la France comme la plupart des pays la pratique également, la surveillance de ses alliés et la violation de la vie privée de ses dirigeants est un sport national aux Etats-Unis. L’alerte lancée par Edward Snowden sur les pratiques de la NSA concernant, outre la surveillance de masse des américains par leurs propres institutions gouvernementales, les écoutes des chefs de pays alliés ont certes choqué et permis le début d’une prise de conscience, mais n’a pas eu l’impact nécessaire à la remise en question et encore moins l’arrêt de ces pratiques.
Les Etats-Unis ont compris depuis un certain temps l’avantage que peut leur procurer de solides services informatiques. Même s’il est impossible d’effacer toutes traces d’attaques, la discrétion est sans comparaison avec une opération dite physique. Le meilleur exemple est l’attaque perpétrée contre l’Iran via le virus informatique Stuxnet. Ce virus, dont le but était de ralentir le programme nucléaire iranien suite à sa reprise en altérant subtilement ses paramètres, est attribué de façon plus ou moins officielle aux services américains, et certaines fois également aux services d’Israël. La particularité de Stuxnet réside dans sa grande complexité. Selon le site Cyberguerre Numerama : « en règle générale, un logiciel malveillant repose sur l’exploitation d’une ou deux failles de sécurité qui ont déjà été documentées et même corrigées. Parfois, le virus exploite une vulnérabilité inédite : on parle alors de faille 0-day (zero day), dont l’exploitation à grande échelle est un événement. Stuxnet exploite quant à lui quatre vulnérabilités 0-day affectant les environnements Windows : du jamais vu, qui témoigne d’un niveau de renseignement bien supérieur à celui des cyberattaques courantes ». C’est ce niveau de renseignement et l’exploitation d’un nombre impressionnant de failles 0-day qui pousse à croire à une cyberattaque étatique. L’autre grande cyberattaque étatique reconnue, même si le pays en question réfute toute responsabilité, est l’attaque de l’Estonie par la Russie en 2007. À la suite du déplacement d’une statue de soldat russe du centre-ville à la périphérie dans la capitale estonienne, la ville de Tallin, des millions d’ordinateurs saturent de requêtes le réseau estonien. En envoyant des millions de requêtes surchargeant les serveurs, les services deviennent inutilisables. Bien évidemment aucune preuve n’incrimine directement le gouvernement de Vladimir Poutine, certains pensent qu’il a simplement laisser faire, d’autres qu’il a loué les services de hackers ou de la mafia. Lorsque l’on examine à qui profite le crime, la réponse paraît logique.
CONCLUSION
La protection et la maîtrise du cyberespace est indispensable, vital même au XXIème siècle. Que cela soit pour un État et ses réseaux ou une entreprise et ses services, une protection informatique de qualité est une condition sine qua non à leur réussite. Une erreur à éviter est, par exemple, d’utiliser des fournisseurs provenant de pays pouvant représenter une menace, surtout si le gouvernement possède des parts dans ses entreprises. Le meilleur exemple est Huawei et ses liens nébuleux avec le parti communiste chinois.
Mais un Etat ne doit pas profiter de la maîtrise de son réseau pour museler sa population en utilisant Internet comme moyen de censure. Que cela soit les récentes manifestations en Iran contre l’augmentation du prix de l’essence, ou les revendications contre la loi sur la citoyenneté en Inde, les gouvernements ont choisi de simplement couper le réseau pour limiter la propagation de la colère, et réprimer sans limite puisque sans preuve.
Après avoir détaillé les intérêts pour un État ou une entreprise d’assurer sa sécurité digitale, nous examinerons l’importance de la protection des données personnelles des citoyens, que cela soit face à une entité publique ou privée.
Sources :
https://www.kaspersky.fr/resource-center/threats/cybercrime
https://cyberguerre.numerama.com/219-stuxnet-lespion-qui-voulait-saboter-le-nucleaire-iranien.html
https://www.atlas-mag.net/article/cyberattaques-des-chiffres-qui-inquietent-assureurs-et-reassureurs