Les pouvoirs publics convoitent vos données… et pour les obtenir, ils sont même prêts à détruire les fondements de la confiance sur Internet


Rédigé par Kevin Bocek, Venafi le 25 Mai 2016

Le débat sur le cryptage, déjà agité depuis des années, atteint aujourd’hui un crescendo qui pourrait bien ébranler irréversiblement les fondements de la confiance en ligne : peut-être ne nous relèverons-nous jamais du scénario-catastrophe qui se déroule actuellement. De tous côtés ― le FBI tentant de contraindre Apple à mettre au point un logiciel destiné à contourner son propre cryptage ; le gouvernement britannique présentant sa charte Snooper afin d’obliger les entreprises à mettre fin au chiffrement en divulguant le contenu des communications cryptées ; un juge brésilien bloquant l’application WhatsApp dans son pays, sanctionnant l’entreprise pour retention d’informations dans le cadre d’une enquête sur des trafiquants de drogue ― le message en provenance des administrations est on ne peut plus clair : elles entendent s’approprier le « sésame » qui leur donnera accès à toutes les données et, tellement prêtes à tout pour l’obtenir, elles ne prennent plus garde aux dangers induits. A quand une situation similaire sur le territoire français ?



Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi
Notre univers en ligne repose sur un système de clés cryptographiques et de certificats numériques qui, depuis 20 ans, constitue la base de nos communications sécurisées. À dessein, ces clés et certificats sont d’emblée jugés dignes de confiance par les serveurs et autres applications de sécurité pour ce qui est de préserver la confidentialité et de délivrer des autorisations à tout ce qui, aujourd’hui, repose sur IP, à savoir serveurs, clouds, appareils mobiles, applications et accessoires connectés relevant de l’Internet des objets (IoT). En substance, ils permettent à nos machines de communiquer entre elles, déterminent l’identité des personnes ou la nature des objets dignes de confiance ou non : et, si vous disposez du « sésame » assurant la mainmise sur ces communications, vous voilà en mesure de soumettre ces machines à votre volonté et d’avoir accès aux données qui vous intéressent. On ne peut donc reprocher aux pouvoirs publics d’être autant obnubilés par la quête de ce sésame ; pour autant, peut-on vraiment leur faire confiance, au vu des précédents ? Les faits sont là : les données sont une forme de pouvoir ; le pouvoir corrompt ; le pouvoir absolu est une corruption absolue. Il serait idiot de croire que l’administration serait à l’abri.

Les exemples d’abus de pouvoir administratif ne manquent pas ; le lanceur d’alerte Edward Snowden a levé le voile sur les activités de la NSA (au moyen d’une clé dérobée, rien de moins), et dernièrement, on a appris que les services secrets britanniques espionnaient plusieurs millions de leurs concitoyens. Force est de constater que les États outrepassent d’ores et déjà leurs droits en recueillant des données, à leur insu, sur des citoyens qui, pour la plupart, n’ont commis ni délit ni infraction. Et le problème ne se pose pas uniquement pour des sociétés technologiques comme Apple : aujourd’hui, chaque entreprise exerce ses activités sur le mode numérique, et tous les établissements sont dépositaires de données. Alors, jusqu’où les pouvoirs publics iront-ils ? Exigeront-ils des banques un accès en temps réel pour pouvoir contrôler les transactions ? Ou un accès aux systèmes de géolocalisation dans les transports ?

À l’heure actuelle, le cryptage met des bâtons dans les roues des pouvoirs publics, qui ne peuvent donc avoir connaissance de tout ce que nous produisons, et ils enragent de dépit. Comment des individus osent-ils décider de ménager ou de refuser l’accès à leurs données, et pour quelles raisons ? Cette liberté leur apparaît relativement scandaleuse. Ils doivent forcément être des terroristes ou avoir quelque chose à cacher. Tel est le discours généralement tenu par les gouvernants ; il existe pourtant de nombreuses raisons pour lesquelles les entreprises et les particuliers entendent préserver ce droit élémentaire appelé intimité, sans que cela en fasse des criminels pour autant.

D’ailleurs, même si vous êtes disposé à ménager à l’administration un accès à vos données, cela ne signifie pas que vous êtes prêt à accorder à quiconque un libre accès à celles-ci. Notre propriété intellectuelle, la confiance que nous accordent nos clients et l’ADN de notre entreprise se retrouvent dans nos données ; raison pour laquelle celles-ci sont si farouchement gardées. Ce n’est pas tant un abus de pouvoir de l’administration vis-à-vis de ce sésame qu’il nous faut craindre, mais l’incompétence des pouvoirs publics.

Maintes et maintes fois, des failles de sécurité administratives ont été constatées. Aujourd’hui, si on leur octroie les pouvoirs qu’ils réclament, ils seront désormais responsables de la sécurité de nos entreprises : ce sont eux qui détiendront le sésame qui permettra à un pirate de vider tous nos comptes en banque. En tant que client, je ne m’estime pas particulièrement rassuré sur ce point, mais en qualité d’actionnaire, je pense que je me hâterai de céder mes parts dans la banque en question si j’apprenais que l’État en détenait le sésame.

Obliger des entreprises parfaitement licites à proposer une « porte dérobée » pour accéder à leurs solutions créera de surcroît des outils susceptibles de tomber entre de mauvaises mains. Prenez l’exemple de Stuxnet : ici, l’administration américaine a créé une vulnérabilité mettant à profit des clés et certificats détournés à ses propres fins, qui n’a pas tardé à être piratée et exploitée de la pire manière possible, puisqu’elle visait des infrastructures stratégiques. Cette attaque gouvernementale a constitué la base d’un scénario d’attaque désormais couramment employé par les cybercriminels.

Le sceau du secret ne dure guère, notamment dans l’univers obscur des services de renseignements. Lorsque les États-Unis ont mis au point la bombe atomique, je suis convaincu qu’ils espéraient pouvoir en garder le secret ; aujourd’hui, le doigt potelé de Kim Jong-un menace d’appuyer sur le détonateur. Le « sésame » risque d’être encore plus destructeur. Notre univers, nos infrastructures stratégiques, le commerce en ligne, les hôpitaux, tout est connecté par des machines à présent ; si quelqu’un parvient à prendre le commandement de ces machines, c’est un scénario « année zéro » qui nous guette, susceptible de nous faire revenir un siècle en arrière. C’est un véritable effondrement de la société qui risquerait de se produire. Et plus le nombre d’équipements venant se greffer sur ce réseau de machines dont nous sommes dépendants augmente avec la montée en puissance de l’Internet des objets, plus la problématique devient urgente.

Pire, les pirates connaissent tout de nos moindres faits et gestes. Le Dark Web est une place de marché animée où les « méchants » négocient et échangent des clés et certificats ; songez à ce qu’il adviendrait s’ils s’emparaient du très convoité « sésame » ? Pour reprendre les propos de Doc Brown (Retour vers le futur) : « Les conséquences seraient catastrophiques ». Mais encore ? Eh bien, pour commencer, les rançongiciels pourraient bien proliférer dans l’Internet des objets, avec des entreprises à la merci de pirates, contraintes de leur céder plusieurs millions de livres sterling. Quant aux États-nations résolus à en découdre avec un pays, ils pourraient bien réduire à néant son réseau d’électricité, voire modifier la température de ses installations nucléaires pour les rendre instables. S’ils tombent entre de mauvaises mains, les clés et certificats peuvent se muer en armes de destruction massive : voulons-nous vraiment que d’autres outils de ce type inondent le marché ?

Pour toutes ces raisons, il est vital, pour l’avenir de la planète, que nous refusions l’accès à notre « sésame » : dans le cas contraire, le monde tel que nous le connaissons pourrait bien s’en trouver transformé, et sans doute pas dans le bon sens.



Dans la même rubrique :